REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Wirusów historia najnowsza

Kaspersky Lab Polska

REKLAMA

Szkodliwe programy mogą wydawać się stosunkowo nowym zjawiskiem. Na skutek epidemii z ostatnich lat większość użytkowników komputerów została wprowadzona w świat wirusów, robaków i trojanów - głównie w wyniku infekcji ich komputerów. Pewną rolę odegrały również media, coraz częściej donoszące o najnowszych cyberzagrożeniach i aresztowaniach twórców wirusów.

W rzeczywistości złośliwe oprogramowanie nie jest zjawiskiem zupełnie nowym. Chociaż pierwsze komputery nie były atakowane przez wirusy, nie oznacza to, że nie były potencjalnie podatne na ataki. Gdy informatyka była jeszcze w powijakach, niewielu ludzi posiadało wiedzę na temat systemów komputerowych wystarczającą do wykorzystywania istniejących luk.

REKLAMA

REKLAMA


Kiedy tylko komputery rozpowszechniły się, pojawiły się problemy. Zaczęto wykrywać wirusy w wyspecjalizowanych sieciach, na przykład ARPANET w 1970. Gwałtowny rozwój komputerów osobistych zapoczątkowany we wczesnych latach 80 przez firmę Apple spowodował rozwój wirusów na podobną skalę. Coraz więcej osób uzyskało dostęp do komputerów oraz wiedzę na temat ich działania. W konsekwencji, niektórzy z nich wykorzystywali ją do wyrządzania szkód.


Wraz z rozwojem technologii ewoluowały wirusy. Na przestrzeni kilkudziesięciu lat byliśmy świadkami niewyobrażalnych zmian w dziedzinie komputerów. Pierwsze prymitywne maszyny uruchamiane z dyskietek rozwinęły się w potężne systemy zdolne do błyskawicznego przesłania ogromnych ilości danych, skierowania wiadomości e-mail pod setki lub tysiące adresów, dostarczania rozrywki w postaci filmów, muzyki oraz interaktywnych stron WWW. Twórcy wirusów dotrzymują tempa tym zmianom.


Podczas gdy w latach 80 wirusy atakowały różne systemy operacyjne i sieci, obecnie większość z tworzonych wirusów wykorzystuje luki w najpopularniejszym oprogramowaniu: Microsoft Windows. Twórcy wirusów aktywnie wykorzystują wzrastającą liczbę niezabezpieczonych użytkowników. Pierwsze złośliwe programy wywołały szok wśród użytkowników, których komputery zaczęły zachowywać się w nieprzewidziany sposób. Jednak wirusy, które wkroczyły w latach 90, stanowią znacznie poważniejsze zagrożenie: często wykorzystywane są do kradzieży poufnych informacji takich jak dane dotyczące kont bankowych czy haseł.


Zrozumienie współczesnych zagrożeń ma kluczowe znaczenie dla bezpieczeństwa informatycznego. W sekcji tej dokonano przeglądu ewolucji złośliwego oprogramowania. Okraszona licznymi ciekawostkami historycznymi stanowi ona niezbędny fundament do zrozumienia początków dzisiejszych cyberzagrożeń.

Dalszy ciąg materiału pod wideo


Początki - nieco archeologii

REKLAMA


Historycy wciąż nie są zgodni co do tego, kiedy pojawił się pierwszy wirus komputerowy. Mamy jednak pewność co do kilku kwestii: pierwszy komputer, wynaleziony przez Charlesa Babadge'ego, był wolny od wirusów. Ale już w połowie lat 70 komputery Univax 1108 oraz IBM 360/370 mogły pochwalić się szkodliwym oprogramowaniem wirusy.


W rzeczywistości, pojęcie wirusa komputerowego narodziło się znacznie wcześniej. Zdaniem wielu specjalistów, zarodkiem były prace Johna Neumanna, który prowadził badania na temat popularnych w latach 40 samoczynnie powielających się maszyn matematycznych. W roku 1951Neumann miał już gotowe metody tworzenia takich maszyn.


W roku 1959 brytyjski matematyk Lionel Penrose przedstawił w artykule zatytułowanym 'Self-Reproducing Machines' zamieszczonym w magazynie Scientific American swoje poglądy na temat automatycznego samoczynnego powielania. W przeciwieństwie do Neumanna, Penrose opisał prosty dwuwymiarowy model tej struktury, który można było uruchomić, był zdolny do rozmnażania, dokonywania mutacji i atakowania. Krótko po pojawieniu się artykułu Penrose'a, Frederick G. Stahl odtworzył ten model w kodzie maszynowym dla IBM 650.


Należy podkreślić, że powyższe badania nigdy nie miały na celu dostarczenia podstaw przyszłego rozwoju wirusów komputerowych. Wprost przeciwnie, naukowcy, o których mowa, próbowali poprawić świat i uczynić go lepszym dla ludzi. To właśnie ich badania stanowiły fundament późniejszych badań nad robotyką i sztuczną inteligencją.


W roku 1962 inżynierzy z amerykańskiej firmy Bell Telephone Laboratories: V. Vyssotsky, G. McIlroy, i Robert Morris stworzyli grę komputerową 'Darwin'. Gra zawierała w pamięci komputera tak zwanego sędziego sportowego (umpire), który określał reguły i porządek bitwy toczonej między zwalczającymi się programami tworzonymi przez graczy. Programy te mogły śledzić i niszczyć programy przeciwników i, co ważniejsze, rozmnażać się. Gra polegała na usunięciu programów przeciwnika i przejęciu kontroli nad polem bitwy.


Cień padł na teoretyczne hipotezy leżące u podstaw nieszkodliwej gry stworzonej przez naukowców i inżynierów, gdy świat zdał sobie sprawę, że teoria samoczynnie powielających się jednostek może zostać użyta, z równym powodzeniem, do zupełnie innych celów.

 
Lata 70

W latach 70 wykryto wirusa Creeper w ARPANET, amerykańskiej wojskowej sieci komputerów, która stała się prekursorem współczesnego Internetu. Program ten, napisany dla popularnego wówczas systemu operacyjnego Tenex, mógł nawiązać połączenie przez modem i skopiować się do zdalnego systemu. Zainfekowane systemy wyświetlały następującą wiadomość: 'I'M THE CREEPER : CATCH ME IF YOU CAN.' (ang. Jestem CREEPER: złap mnie jeśli potrafisz).


Wkrótce został stworzony anonimowy program Reaper, którego celem było niszczenie wirusa Creeper. Reaper był wirusem: rozprzestrzeniał się do sieciowych komputerów i jeśli zlokalizował wirusa Creeper, usuwał go. Nawet osoby bezpośrednio zainteresowane nie są w stanie powiedzieć, czy Reaper był odpowiedzią na wirusa Creeper, czy też stworzyła go ta sama osoba lub osoby, które napisały wirusa Creeper, aby usunąć własne błędy.


1974

Pojawił się wirus o nazwie Rabbit: nazwa wzięła się stąd, że działanie tego wirusa ograniczało się do rozmnażania i rozprzestrzeniania do innych komputerów. Nazwa odnosiła się również do szybkości, z jaką rozmnażał się program. Zapychał system własnymi kopiami osłabiając jego działanie. Po tym, jak Rabbit rozmnożył się na zainfekowanym komputerze do pewnej liczby kopii, wirus przestawał działać.


1975

W roku 1975 pojawiła się kolejna gra, Pervading Animal, stworzona tym razem dla Univac 1108. Do dzisiaj analitycy sprzeczają się, czy był to kolejny wirus czy pierwszy Trojan.


Reguły gry były proste: gracz miał pomyśleć o pewnym zwierzęciu, a program zadawał pytania w celu zidentyfikowania go. Grę wyposażono w funkcję autokorekty. Gdy program nie potrafił odgadnąć, o jakie zwierzę chodziło, aktualizował się i wprowadzał nowe pytania. Nowa, unowocześniona wersja zastępowała starą kopiując się dodatkowo do innych katalogów. Po pewnym czasie wszystkie katalogi zawierały kopie 'Pervading Animal'. Niemożliwe, żeby chcieli tego twórcy, skoro cała kopia gry zajmowała spory obszar na dysku.


Czy był to błąd twórcy programu, czy też świadoma próba zapchania systemu? Trudno odpowiedzieć na to pytanie. W ówczesnych czasach granica między nieprawidłowo działającymi programami, a szkodliwym kodem była niejednoznaczna.


Programiści próbowali wykorzystać model Creeper-Reaper do przejęcia kontroli nad Pervading Animal: nowa wersja gry skanowała w poszukiwaniu starych wersji i niszczyła je. Problem został całkowicie rozwiązany dopiero po opublikowaniu Exec 8, nowej wersji systemu operacyjnego. Po zmodyfikowaniu systemu plików gra nie mogła się już powielać.


Wczesne lata 80


Wraz ze wzrostem popularności komputerów coraz więcej osób zaczynało pisać własne programy. Dzięki postępowi w dziedzinie telekomunikacji powstały kanały łatwej wymiany programów poprzez serwery z otwartym dostępem, takie jak BBS - Bulletin Broad System. Z czasem uniwersyteckie serwery BBS rozwinęły się w globalną bazę danych i dostępne były we wszystkich rozwiniętych krajach. Masowo pojawiły się pierwsze trojany: programy, które nie były zdolne do samoczynnego powielania się lub rozprzestrzeniania, ale uszkadzały systemy, po tym jak zostały ściągnięte i zainstalowane.


1981

Rozpowszechnienie komputerów Apple II przesądziło o ich losie i stały się głównym celem twórców wirusów. Nie dziwi więc fakt, że pierwsza w historii epidemia wirusów na dużą skalę uderzyła w platformę Apple II.


Elk Cloner rozprzestrzeniał się infekując przechowywany na dyskietkach system operacyjny komputera Apple II. Wraz z uruchomieniem komputera z zainfekowanej dyskietki automatycznie uruchamiała się kopia wirusa. Wirus nie wpływał zazwyczaj na działanie komputera, monitorował jedynie dostęp do dysku. Po umieszczeniu w napędzie niezainfekowanej dyskietki wirus infekował ją, rozprzestrzeniając się w ten sposób z dyskietki na dyskietkę.


Wirus Elk Cloner infekował sektor startowy komputerów Apple II. Systemy operacyjne przechowywane były wówczas na dyskietkach: w rezultacie infekowane były dyskietki, a uruchomienie wirusów następowało przy każdorazowym ładowaniu systemu. Użytkownicy byli zdezorientowani efektami ubocznymi i często poprzez wymienianie się dyskietkami z przyjaciółmi przyczyniali się do zainfekowania ich komputerów. Sytuację pogarszał fakt, że większość ludzi nie miała pojęcia czym były wirusy, nie mówiąc już o sposobach ich rozprzestrzeniania.


Dodatkowa funkcja wirusa Elk Cloner obejmowała obracające się obrazki, migający tekst oraz żarty o następującej treści:

ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!


1983

Len Adleman jako pierwszy użył terminu 'wirus' w odniesieniu do samoczynnie powielających się programów komputerowych. 10 listopada 1983 roku, podczas seminarium poświęconego bezpieczeństwu komputerowemu na Lehigh Unversity, ten ojciec współczesnej wirusologii komputerowej przedstawił przypominający wirusa program atakujący system VAX11/750. Program potrafił instalować się do innych obiektów systemu. Rok później, na siódmej corocznej konferencji z zakresu bezpieczeństwa informatycznego, Len Eidelmen zdefiniował pojęcie 'wirus komputerowy' jako program zdolny do infekowania innych programów poprzez ich modyfikację umożliwiającą zainstalowanie własnych kopii tego programu. Mimo, iż Len Adleman jest uznawany za twórcę terminu 'wirus komputerowy', został on spopularyzowany rok później przez Freda Cohena.

 

1986

Wykryto pierwszą globalną epidemię wirusów na komputerach IBM. Wirus Brain, który infekował sektor startowy, zdołał praktycznie w ciągu miesięcy rozprzestrzenić się na całym świecie. Niemal całkowita ignorancja społeczności informatycznej w kwestiach ochrony antywirusowej przyczyniła się do odniesienia przez tego wirusa sukcesu. Liczne publikacje, jakie pojawiły się na ten temat w dziedzinie science-fiction, zamiast informować o zabezpieczeniach, zaostrzyły tylko wywołaną panikę.


Wirusa Brain napisał 19-letni pakistański programista Basit Farooq Alvi oraz jego brat Amjad. Wirus zawierał ciąg tekstowy z ich imionami, adresami i numerami telefonów. Autorzy wirusów, pracujący w dziale sprzedaży firmy zajmującej się oprogramowaniem komputerowym, chcieli rzekomo zmierzyć poziom piractwa w kraju. Działanie wirusa ograniczyło się do zainfekowania sektora startowego dysku i zmiany nazwy dysku na '© Brain'; wirus posiadał dodatkową funkcję i nie niszczył danych. Niestety bracia stracili kontrolę nad 'eksperymentem' i Brain rozprzestrzenił się po całym świecie.


Ciekawostką jest fakt, że Brain był również pierwszym 'ukrywającym się wirusem'. Po wykryciu próby odczytania zainfekowanego sektora wirus wyświetlał oryginalne, niezainfekowane dane.


Tego samego roku niemiecki programista Ralf Burger wynalazł pierwsze programy, które potrafiły kopiować się poprzez dodanie swojego kodu do wykonywalnych plików DOS o formacie COM. W grudniu 1986 roku na forum podziemia komputerowego Chaos Computer Club w Hamburgu Burger przedstawił roboczy model programu o nazwie Virdem. Chociaż większość hakerów biorcych udział w konferencji specjalizowało się w atakach na systemy VAX/VMS, pomysł Burgera zainteresował ich.

 
1987

Pojawił się wirus Vienna: jego pojawienie się oraz globalny zasięg zapoczątkowały gorące debaty, ponieważ społeczność informatyczna usiłowała zidentyfikować twórcę szkodnika. Franz Swoboda jako pierwszy wykrył wirusa: jego ostrzeżenie o wykryciu samoczynnie powielającego się programu o nazwie Charlie zostało nagłośnione przez wiele firm z branży technologii informatycznej i przyciągnęło uwagę mediów. Jak można było się spodziewać, wielu ludzi zaczęło interesować się wykryciem twórcy wirusa i źródła epidemii. Krążyły informacje, że Swoboda otrzymał wirusa od Ralfa Burgera, który jednak zaprzeczał wersji przedstawionej przez Swobodę. Twierdził natomiast, że otrzymał wirusa od Swobody. Ostatecznie nigdy nie dowiedzieliśmy się, kto stworzył ten złośliwy program.


Mimo zamieszania wokół autora wirusa Vienna jego pojawienie się było znamienne z innych powodów. Jeden z jego potencjalnych twórców, Ralf Burger, przesłał kopię wirusa do Bernta Fiksa, który zdołał go zneutralizować. Był to pierwszy taki przypadek. W ten sposób, Bernt Fix stał się prekursorem współczesnych ekspertów z dziedziny programów antywirusowych. Obecnie jednak, oprócz analizowania i neutralizowania wirusów, twórcy oprogramowania antywirusowego zajmują się publikowaniem modułów wykrywania i leczenia.


Burger wykorzystał pracę Fiksa i w swojej książce Computer Viruses: The Disease of High Technology opublikował kod używany do neutralizowania wirusa Vienna. Książka ta była analogiczna do publikacji B. Khizhnyaka Writing Wiruses and Anti-Viruses. Burger wyjaśnił, jak można zmodyfikować kod wirusa, aby nie mógł się rozmnażać. Jednakże, książka prawdopodobnie zyskała popularność z powodu opisu sposobu, w jaki tworzone są wirusy. Stała się inspiracją do stworzenia tysięcy wirusów, które całkowicie lub częściowo wykorzystywały pomysły w niej zawarte.


Tego samego roku pojawiło się również kilka innych wirusów komputerowych atakujących komputery IBM:

- Sławny wirus Leigh, nazwany tak na cześć uniwersytetu w Pensylwanii, gdzie po raz pierwszy został wykryty; jak na ironię, uniwersytet ten jest alma mater ojca współczesnej wirusologii komputerowej;

- rodzina wirusów Suriv;

- liczne wirusy sektora startowego, które pojawiły się w wielu krajach: Yale w Stanach Zjednoczonych, Stoned w Nowej Zelandii, Ping Pong we Włoszech;

- pierwszy samoszyfrujący się wirus plikowy - Cascade.


Lehigh przeszedł do historii jako ten, który bezpośrednio uszkadzał dane: wirus niszczył informacje na dyskach. Na szczęście, kilku ekspertów komputerowych z Lehigh Univeristy potrafiło analizować wirusy. W rezultacie, wirus nigdy nie przedostał się poza mury uniwersytetu i nigdy nie został wykryty na wolności.


Wirus Lehigh zapoczątkował program niszczycielski, który oprócz cennych danych na koniec usuwał także wirusa. Na początku wirus infekował tylko pliki systemowe command.com. Po zainfekowaniu czterech plików niszczył dane, unicestwiając ostatecznie siebie samego.


Do tego czasu użytkownicy zaczęli poważnie traktować bezpieczeństwo i nauczyli się sposobów ochrony przed wirusami. Ci najostrożniejsi szybko nauczyli się monitorować rozmiar plików command.com, po tym jak dowiedzieli się, że zwiększenie rozmiaru tego pliku było pierwszą oznaką potencjalnej infekcji.


Równie interesująco przedstawiała się rodzina wirusów Suriv (spróbuj przeczytać nazwę od końca) napisana przez nieznanego programistę z Izraela. Tak jak w przypadku wirusa Brain, nie wiadomo, czy był to tylko eksperyment, który wymknął się spod kontroli, czy też celowe stworzenie złośliwego programu. Wielu ekspertów z dziedziny programów antywirusowych twierdziło, że był to eksperyment. Wersję tę potwierdziły odkrycia fragmentów kodu na Yisrael Radai University. Wykazano, ze twórca wirusa próbował zmienić proces instalacji plików w formacie EXE, a ostatnia modyfikacja wirusa była jedynie wersją usuwającą błędy.


Pierwszy członek tej rodziny wirusów, trafnie nazwany przez jego autora Suriv-1, potrafił infekować uruchamione pliki COM w czasie rzeczywistym. W tym celu wirus ładował się do pamięci komputera i pozostawał aktywny do wyłączenia komputera. Pozwalało to wirusowi na przechwycenie operacji plikowych. W przypadku uruchomienia przez użytkownika pliku COM, wirus natychmiast infekował go. Dzięki temu wirus błyskawicznie rozprzestrzeniał się na wymienne nośniki danych.


Suriv-2, w przeciwieństwie do swojego poprzednika, atakował pliki EXE. Był to pierwszy wirus zdolny do przenikania plików EXE. Trzecie wcielenie, Suriv-3, łączyło w sobie cechy pierwszej i drugiej wersji i potrafiło zainfekować zarówno pliki COM, jak i EXE.


Wkrótce pojawiła się czwarta modyfikacja wirusa o nazwie Jerusalem i szybko rozprzestrzeniła się po całym świecie; Jerusalem spowodował w roku 1988 globalną epidemię.


Ostatnim znaczącym wydarzeniem roku 1987 było pojawienie się zaszyfrowanego wirusa Cascade, którego nazwa pochodzi od części jego funkcji dodatkowej. Po uruchomieniu wirusa symbole spływały kaskadowo do dołu ekranu. Wirus składał się z dwóch części - z ciała wirusa i procedury szyfrującej. Drugi składnik szyfrował ciało wirusa, aby w każdym zainfekowanym pliku wyglądało ono inaczej. Po uruchomieniu pliku program szyfrujący przejmował kontrolę, dekodował ciało wirusa i przekazywał mu kontrolę.


Wirus ten uznawany jest za prekursora wirusów polimorficznych, które wykonają swoje funkcje mimo braku stałego kodu programu. W przeciwieństwie do przyszłych wirusów polimorficznych, Cascade szyfrował tylko ciało wirusa. Rozmiar zainfekowanego pliku używany był jako klucz deszyfrujący. Program deszyfrowania pozostał niezmieniony, dzięki czemu współczesne rozwiązania antywirusowe bez trudu wykrywają tego wirusa.


W roku 1988 Cascade spowodował poważny incydent w belgijskim oddziale IBM i stał się impulsem do rozwoju autorskiego produktu antywirusowego. Wcześniej firma IBM tworzyła rozwiązania antywirusowe jedynie do wewnętrznego wykorzystania.


Mark Washburn połączył później informacje, które Ralf Burger opublikował na temat wirusa Vienna, z ideą samoszyfrowania wykorzystaną w wirusie Cascade i stworzył pierwszą rodzinę wirusów polimorficznych: rodzinę Chameleon.


Komputery IBM nie były jedynym celem: ofiarami wirusów padły również komputery Apple Macintosh, Commodore Amiga i Atari ST.


W grudniu 1987 roku miała miejsce pierwsza główna epidemia sieci lokalnych: spowodował ją robak Christmas Tree, który został napisany w języku programowania REXX i rozprzestrzeniał się na systemach operacyjnych VM/CMS-9. Źródłem zapoczątkowanej 9 grudnia epidemii była sieć Bitnet na uniwersytecie w Niemczech Zachodnich, skąd robak przedostał się na portal European Academic Research Network, a następnie do sieci IBM. W ciągu czterech dni (13 grudnia) robak zdołał zalać sieć. Po uruchomieniu wyświetlał na ekranie choinkę i wysyłał własne kopie do wszystkich użytkowników sieci, których adresy znajdowały się w plikach systemowych NAMES i NETLOG.

 
1988

Wirus Suriv-3, znany obecnie pod nazwą Jerusalem, wywołał główną epidemię w roku 1988. W piątek 13 maja wykryto go w wielu przedsiębiorstwach, biurach rządowych oraz instytucjach akademickich. Uderzenie wirusa było odczuwane na całym świecie, największe szkody wyrządził jednak w Stanach Zjednoczonych, Europie i Bliskim Wschodzie. Jerusalem niszczył wszystkie pliki uruchomione na zainfekowanych komputerach.


13 maja 1988 roku przeszedł do historii jako Czarny Piątek. Paradoksalnie, eksperci z dziedziny oprogramowania antywirusowego oraz twórcy wirusów czekają, aż trzynasty dzień miesiąca przypadnie w piątek. Autorzy wirusów stają się aktywniejsi, natomiast analitycy wirusów traktują taki dzień jak małe święto ich profesji.


Do tego czasu na całym świecie powstało już wiele firm produkujących oprogramowanie antywirusowe. Ogólnie były to niewielkie dwu lub trzyosobowe firmy. Programy antywirusowe składały się z prostych skanerów przeprowadzających przeszukiwanie unikatowej sekwencji kodu wirusa.


Użytkownicy wysoko cenili również narzędzia uodparniające dostarczane razem ze skanerami. Narzędzia te modyfikowały programy w taki sposób, że wirus omijał komputery myśląc, że zostały już zainfekowane. Później, gdy liczba wirusów osiągnęła rozmiary setek, narzędzia te stały się nieskuteczne, ponieważ stworzenie tak ogromnej liczby narzędzi uodparniających w celu zabezpieczenia komputerów przed wszystkimi wirusami na wolności było zadaniem nierealnym.


Oba rodzaje programów antywirusowych były rozprowadzane darmowo lub sprzedawane po śmiesznie niskich cenach. Mimo to nie cieszyły się aż tak dużą popularnością, żeby skutecznie zwalczyć epidemie wirusów. Ponadto programy antywirusowe były całkowicie bezbronne wobec nowych wirusów: niedoskonałe kanały transmisji danych i brak jednolitej, globalnej sieci komputerowej, takiej jak współczesny Internet, znacznie utrudniły dostarczanie aktualnych wersji programów antywirusowych.


W rozprzestrzenianiu wirusów Jerusalem, Cascade, Stoned i Vienna dużą rolę odegrał czynnik ludzki. Po pierwsze, ówcześni użytkownicy nie byli świadomi znaczenia ochrony antywirusowej. Po drugie, wielu użytkowników, a nawet profesjonalistów, nie wierzyło w istnienie wirusów komputerowych.


Nawet Peter Norton, jednoznacznie kojarzony dzisiaj z produktami firmy Symantec z siedzibą w Stanach Zjednoczonych, na pewnym etapie swojej kariery podchodził do wirusów komputerowych sceptycznie. Ich istnienie uważał za mit, taki sam jak historie o ogromnych krokodylach zamieszkujących kanały ściekowe Nowego Jorku. Incydent ten nie miał jednak wpływu na stworzenie przez Symanteca w niedługim czasie własnego projektu antywirusowego, Norton AntiVirus.


Rok 1988 był ważny dla społeczności antywirusowej również z innego względu: 22 kwietnia powstało pierwsze forum internetowe poświęcone zabezpieczeniom przed wirusami. Było to forum Virus-L w sieci Usenet stworzone przez Kena van Wyka, kolegę ze studiów Freda Cohena.


W tym roku odnotowano również pierwszy wirus żart (ang. hoax). To niezwykle interesujące zjawisko polega na szerzeniu pogłosek o niebezpiecznych, nowych wirusach. W niektórych przypadkach efekty żartów były podobne do wirusów. Pogłoski te, przekazywane przez przerażonych użytkowników, rozchodziły się lotem błyskawicy. Żarty te nie wyrządzały oczywiście żadnej szkody, obciążały jednak pasmo, wywoływały panikę wśród użytkowników i kompromitowały osoby, które dały się na nie nabrać.


Mike RoChennel (pseudonim pochodzi od słowa 'Microchannel') stworzył jeden z pierwszych żartów. W październiku 1988 roku, Mike wysłał do BBS-ów ogromną liczbę wiadomości przestrzegających przed wirusem zdolnym do przedostawania się z jednego modemu o szybkości 2400 bodów na drugi. Antidotum na tego wirusa było użycie modemów o szybkości 1200 bodów. Chociaż brzmi to niedorzecznie, wielu użytkowników skorzystało z tej rady.


Kolejny żart został wymyślony przez Roberta Morrisa i dotyczył robaka rozprzestrzeniającego się za pomocą sieci, który zdolny był do zmiany portu i konfiguracji napędu. Autor ostrzegał, że w ciągu zaledwie 12 minut wirus zdołał zainfekować 300 000 komputerów w stanie Dakota. W listopadzie 1988 robaka Morris spowodował epidemię sieciową. Wirus zainfekował ponad 600 systemów komputerowych w Stanach Zjednoczonych (łącznie z centrum badawczym NASA). Podobnie jak robak Christmas Tree, robak Morris rozesłał własne kopie powodując przeładowanie sieci.


W celu rozprzestrzeniania robak Morris wykorzystał lukę w systemie operacyjnym UNIX na platformach Sun Microsystems. Poza tym, wirus wykorzystał kilka innowacyjnych metod uzyskania dostępu do systemu, takich jak zbieranie haseł.


Całkowite straty spowodowane przez robaka Morris zostały oszacowane na 96 milionów dolarów - wtedy niebagatelna suma.


W końcu pojawił się popularny program antywirusowy: w 1988 roku na rynek został wprowadzony Dr. Solomon's Anti-Virus Toolkit. Stworzony przez brytyjskiego programistę Alana Solomona, program był powszechnie stosowany do roku 1998, do momentu przejęcia firmy przez amerykańską instytucję Network Associates (NAI).

 

1990


W roku 1990 miało miejsce kilka istotnych wydarzeń związanych z powstawaniem wirusów. Autorzy wirusów rozwinęli nowe funkcje i zorganizowali się w społeczności w celu wymiany specjalistycznych informacji.


Na początek należy wspomnieć o pojawieniu się w 1990 roku pierwszych wirusów polimorficznych: rodziny Chameleon (1260, V2P1, V2P2 oraz V2P6), które ewoluowały z dwóch wcześniejszych, dobrze znanych wirusów, Vienna i Cascade. Autor tej rodziny wirusów, Mark Washburn, wykorzystał informacje o wirusie Vienna zawarte w książce Burgera, dodał również funkcje samokodującego się wirusa Cascade. W przeciwieństwie do Cascade, Chameleon był nie tylko zakodowanym wirusem. Dodatkowo, jego kod zmieniał się z każdą infekcją. Właśnie ta funkcja wirusa spowodowała, że ówczesne programy antywirusowe były bezużyteczne.

Do tego momentu programy antywirusowe opierały się na zwykłym przeszukiwaniu kontekstowym w celu znalezienia kodu znanych wirusów, Chameleon natomiast nie posiadał stałego kodu. Dlatego też, po pojawieniu się tego wirusa stworzenie nowych typów programów antywirusowych stało się priorytetem nr 1. Nie trzeba było długo czekać na odpowiednie programy. W niedługim czasie eksperci z dziedziny antywirusowej wynaleźli specjalne algorytmy do identyfikowania wirusów polimorficznych. Następnie w 1992 roku Eugene Kaspersky stworzył jeszcze skuteczniejszą metodę neutralizowania wirusów polimorficznych: emulator procesora do deszyfracji kodów. Obecnie technologia ta jest integralnym atrybutem wszystkich programów antywirusowych.


Kolejnym krokiem milowym było powstanie bułgarskiej fabryki produkującej wirusy. W ciągu tego roku i kolejnych wykryto na wolności ogromną liczbę wirusów pochodzących z Bułgarii. Wśród nich znajdowały się całe rodziny wirusów, jak np. Murphy, Nomenclatura, Beast, nowe modyfikacje wirusa Eddie i wiele innych.


Szczególnie aktywny był twórca wirusów występujący jako Dark Avenger: w ciągu roku wypuścił kilka wirusów, w których wykorzystał nowe techniki infekcji i ukrywania. To waśnie Dark Avenger jako pierwszy wykorzystał technikę polegającą na tym, że po wykryciu wirus automatycznie infekował wszystkie pliki komputera, nawet gdy plik został otwarty tylko do odczytu. Dark Avenger wykazywał nadzwyczajne umiejętności, nie tylko w tworzeniu wirusów, ale również w ich rozprzestrzenianiu. Aktywnie umieszczał zainfekowane programy w BBS-ach, rozpowszechniał kody źródłowe swoich wirusów oraz propagował tworzenie nowych wirusów na każdy z możliwych sposobów.


Pierwszy BBS (VX BBS) mający na celu stworzenie otwartego forum, na którym twórcy wirusów mogliby wymieniać się informacjami, został utworzony w Bułgarii, prawdopodobnie przez osobę znaną jako Dark Avenger. BBS kierował się prostą zasadą: jeśli użytkownik przekaże wirusa, w zamian może pobrać jednego wirusa z katalogu. Jeżeli użytkownik dostarczy nowego interesującego wirusa, zostanie przyznany mu pełny dostęp do zasobów i będzie mógł pobierać nieograniczoną ilość wirusów z kolekcji. Nie trzeba mówić, jak potężny wpływ VX BBS miał na rozwój wirusów, szczególnie, że był on dostępny dla całego świata, nie tylko w Bułgarii.


W lipcu 1990 roku miał miejsce poważny incydent z brytyjskim magazynem komputerowym PC Today w roli głównej. Do każdego wydania magazynu dołączona była darmowa dyskietka, która, jak się później okazało, zainfekowana była wirusem DiskKiller. Sprzedano ponad 50 000 kopii magazynu. Wywołana epidemia przeszła do historii wirusologii!.


W drugiej połowie 1990 roku pojawiły się dwa innowacyjne wirusy ukrywające się: Frodo oraz Whale. Obydwa wykorzystywały do ukrywania się w systemie niezwykle złożony algorytm. Dodatkowo, w 9 kilobajtowym wirusie Whale użyto kilku poziomów kodowania i cały wachlarz sprytnych technik zapobiegających debugowaniu.


Pojawiły się pierwsze rosyjskie wirusy: Peterburg, Voronezh oraz LoveChild.


W grudniu 1990 roku w Hamburgu, w Niemczech, powstał EICAR (European Institute for Computer Antivirus Research). Do tej pory instytut ten uważany jest za jedną z najbardziej renomowanych organizacji skupiających profesjonalistów z praktycznie wszystkich głównych firm antywirusowych.


1991

Populacja wirusów komputerowych wciąż wzrasta dochodząc do 300. Proporcjonalnie do wzrostu liczby wirusów i ich szkodliwości, rosła potrzeba skuteczniej ochrony przed nimi. Na początku 1991 roku powstało więcej produktów antywirusowych: Norton AntiVirus stworzony przez Petera Nortona, który w końcu uwierzył w istnienie wirusów oraz Central Point Antivirus; Ten ostatni został wykupiony przez Symanteca w 1993 i 1994 roku.


Inne elektroniczne biuletyny informacyjne zostały stworzone na wzór VX BBS, z podziemia komputerowego wyłoniły się nowe osobowości: Cracker Jack (Włochy), Gonorrhea (Niemcy); Demoralized Youth (Szwjcaria), Hellpit (Stany Zjednoczone) oraz Dead on Arrival i Semaj (Wielka Brytania). Tworzyło się podziemie komputerowe.


Tequila, polimorficzny infektor sektora startowego, spowodował w kwietniu 1991 roku poważną epidemię. Szwajcarski programista stworzył go wyłącznie do celów badawczych, jego zamiarem nie było wyrządzenie jakichkolwiek szkód. Jednakże, jeden z jego znajomych wykradł kopię wirusa i świadomie zainfekował komputery innych użytkowników.


Latem 1991 roku miała miejsce epidemia wirusa Dir_II przy użyciu całkowicie nowych sposobów infekowania plików: Dir_II pozostaje do dziś jedynym przykładem tego typu wirusa wykrytym na wolności.


Ogólnie, rok 1991 był stosunkowo spokojny: można powiedzieć, że była to cisza przed burzą, która zerwała się w kolejnym roku.


1992

W tym czasie z pierwszego planu znikły wirusy dla systemów niekompatybilnych z komputerami IBM i dla systemów innych niż MS-DOS. Usunięto luki w globalnych sieciach, poprawiono błędy, a robaki straciły warunki niezbędne do rozprzestrzeniania - przynajmniej na jakiś czas!


Zamiast tego, wirusy sektora startowego pojawiały się coraz częściej na powszechnie używanych systemach operacyjnych (MS-DOS), na najpopularniejszych platformach (IBM-PC). Liczba wirusów rosła w zastraszającym tempie, niemal każdego dnia miały miejsce wydarzenia zagrażające bezpieczeństwu. Wciąż pojawiały się nowe programy antywirusowe, podobnie jak książki i liczne publikacje poświęcone wirusom. Stały się one tłem, na którym rozegrało się kilka ważniejszych wydarzeń z dziedziny pisania wirusów.


Na początku 1992 roku pojawił się pierwszy generator polimorficzny - MTE. Jego podstawowym celem była integracja z innymi wirusami wspomagająca ich polimorfizm. Autor tego programu, niesławny Dark Avenger, bardzo się starał ułatwić pracę swoim kolegom z profesji. Generator MTE został dostarczony w formie gotowego do użycia modułu wraz z dokumentacją.


MTE spowodował natychmiastowe pojawienie się nowych wirusów polimorficznych. Był również prekursorem kilku innych generatorów polimorficznych, które stały się bolączką wielu firm produkujących oprogramowanie antywirusowe. Nawet po miesiącach ciężkiej pracy wiele z tych firm nie mogło osiągnąć nawet 10% wykrywalności dobrze znanych wersji wirusów polimorficznych tworzonych przy pomocy MTE.


W tym roku pojawiły się pierwsze programy anty-antywirusowe. Jednym z nich był Peach, który usuwał bazę danych programu Central Point AntiVirus. Jeśli program antywirusowy nie mógł zlokalizować bazy danych, zachowywał się tak, jakby był instalowany po raz pierwszy i odtwarzał bazę danych. W ten sposób wirusy unikały wykrycia stopniowo infekując cały system.


Na całym świecie tworzono departamenty zajmujące się ściganiem przestępstw komputerowych. Na przykład, Computer Crime Unit of The New Scotland Yard odniósł spektakularny sukces w rozbrojeniu brytyjskiej grupy twórców wirusów, ARCV (Association for Really Cruel Viruses). Proaktywne stanowisko Wielkiej Brytanii w ściganiu tego rodzaju przestępczości przyczyniło się do neutralizacji aktywności podziemia komputerowego, i nawet dzisiaj nie działają tam zorganizowane grupy twórców wirusów przedstawiające poważne zagrożenie.


W marcu 1992 roku byliśmy świadkami epidemii wirusa Michelangelo poprzedzonej szumem medialnym (po raz pierwszy wirus został wykryty w 1991 roku, epidemię spowodował jednak dopiero w 1992). Chociaż niektórzy eksperci przewidywali, że zainfekowanych zostanie ponad 5 milionów komputerów, w rzeczywistości liczba ta wyniosła kilka tysięcy.


W lipcu 1992 roku po raz pierwszy pojawiły się konstruktory wirusów - VCL i PS-MPC. Umożliwiały one stworzenie własnych wirusów poprzez dodanie do konstruktorów szeregu różnych dodatkowych szkodliwych funkcji. Podobnie jak MTE zwiększyły one liczbę potencjalnie destrukcyjnych wirusów.


Rok 1992 przyniósł ze sobą pierwszego wirusa dla systemu Windows - Win.Vir_1_4. Wirus ten infekował pliki wykonywalne systemu operacyjnego. Chociaż wirus był słabo zakodowany, miał ograniczoną możliwość rozprzestrzeniania i nie posiadał specjalnego zestawu funkcji systemu Windows, otworzył on nowy rozdział w historii wirusów komputerowych.


Korporacja Symantec kupiła firmę Certus International wraz z opracowanym przez nią produktem antywirusowym - Novi.


1993

Twórcy wirusów zaczęli poważnie traktować swoje zajęcie. Podziemie komputerowe zdołało już zgromadzić cały arsenał nowych generatorów i konstruktorów polimorficznych oraz ustanowić nowe elektroniczne publikacje. W tym roku pojawiły się również nowe wirusy wykorzystujące nowe techniki w celu infekowania plików, przenikania systemów, niszczenia danych i ukrywania się przed aplikacjami antywirusowymi.


Przykładem takiego wirusa był PMBS działający na procesorach Intel 80386. Innym przykładem był wirus Strange (lub Hmm), wirus ukrywający się uruchamiany na poziomie przerwań 0Dh oraz 76h.


Carbuncle zapoczątkował nową generację wirusów towarzyszących. Wiele innych wirusów, takich jak Emmie, Bomber, Uruguay i Cruncher, wykorzystywało całkowicie nowe techniki ukrywania się w kodzie zainfekowanych plików.


Wiosna 1993 roku okazała się gorącym okresem dla wielu producentów programów antywirusowych: Microsoft opublikował własny program antywirusowy. Microsoft AntiVirus (MSAV) opierał się na poprzednim programie Central Point AntiVirus (CPAV). Program ten został włączony do standardowych pakietów systemów operacyjnych MS-DOS i Windows. Pierwsze testy przeprowadzone przez niezależne laboratoria wykazały wysoki poziom jego skuteczności. Później jednak jego jakość stopniowo pogarszała się i projekt został przerwany.


1994

Coraz więcej uwagi poświęcano problemowi wirusów na płytkach CD. Szybko spopularyzowany, ten rodzaj przenośnych nośników danych stał się podstawowym sposobami rozprzestrzeniania wirusów. Odnotowano kilka przypadków wykrycia wirusa na kopii matce producenta płyt kompaktowych. Spowodowało to zalanie rynku komputerowego stosunkowo dużymi dostawami zainfekowanych dysków. Nośników takich nie można było wyleczyć, jedynie zniszczyć.


Na początku tego roku w Wielkiej Brytanii pojawiły się dwa niezwykle skomplikowane wirusy polimorficzne: SMEG.Pathogen i SMEG.Queeg - nawet teraz nie wszystkie programy antywirusowe zapewniają stuprocentową wykrywalność tych szkodników. Autor wirusa umieścił zainfekowane pliki na BBS-ach wywołując zarówno epidemię, jak i panikę w mediach.


Kolejną panikę spowodował żart GoodTimes. GoodTimes rzekomo rozprzestrzeniał się przez Internet oraz infekował komputery za pośrednictwem poczty elektronicznej. Jakiś czas później pojawił się wirus przeznaczony dla systemu DOS zawierający tekst GoodTimes. Otrzymał on nazwę GT-Spoof.


Ten rok obfitował w wiele nietypowych wirusów:

- Styczeń: Shifter - pierwszy wirus infekujący pliki OBJ.

- Phantom1 - pierwszy wirus polimorficzny w Rosji.

- Kwiecień - ScrVir - rodzina wirusów infekujących kod źródłowy programów napisanych w językach programowania C i Pascal.

- Czerwiec - OneHalf - złożony i niebezpieczny wirus polimorficzny wywołał poważną epidemię: wirus ten jest aktywny do dzisiejszego dnia i może spowodować poważne zniszczenia.

- Wrzesień - Zaraza - wirus uruchamiający pliki MS-DOS wywołał poważną epidemię wykorzystując unikatową metodę instalacji: nowa technika była poważnym wyzwaniem dla twórców oprogramowania antywirusowego.


W tym roku miało miejsce kilka znaczących wydarzeń w branży oprogramowania antywirusowego.


W czerwcu jeden z czołowych twórców programów antywirusowych został zakupiony przez Symanteca, który rozgłos zyskał już wcześniej po zakupieniu innych projektów antywirusowych.


We wrześniu opublikowano AntiViral Toolkit Pro stworzonego przez Eugene'a Kasperskiego. Produkt ten od razu zdobył najwyższe oceny w kilku niezależnych testach przeprowadzonych na Uniwersytecie w Hamburgu.

 

1995


W tym roku, pomimo kilku nowych złożonych wirusów, takich jak Nightfall, Nostradamus oraz Nutcracker, na polu wirusów atakujących system DOS nie działo się nic szczególnego. Pojawiło się kilka interesujących nowych wirusów jak wirus 'bisexual' oraz Winstart. Miały miejsce dwie duże, ale niegroźne epidemie spowodowane przez wirusy ByWay i DieHard2.


W lutym Microsoft przesłał zainfekowane wersje systemu Windows 95 osobom przeprowadzającym testy beta, ale tylko jedna z nich pomyślała o uruchomieniu skanera antywirusowego. Po tym jak osoba ta odkryła, że dyski były zainfekowane wirusem From, testy zostały odwołane do czasu wydania czystych dysków.


Wiosną 1995 roku dwóch producentów oprogramowania antywirusowego zawarło sojusz: ESaSS (producent programu ThunderBYTE Anti-Virus) oraz Norman Data Defense Systems (Norman Virus Control). Obie firmy, producenci bardzo wydajnych, niezależnych programów antywirusowych zdecydowały połączyć swoje wysiłki i stworzyć jeden system antywirusowy. Jednak ich sojusz zakończy się w 1998 roku, gdy pewna norweska firma wykupiła duńskiego EsaSS.


W sierpniu wirus Concept zaatakował system MS Windows: wirus zdołał rozprzestrzenić się po całym świecie w ciągu zaledwie jednego miesiąca i wielu twórców programów antywirusowych umieściło go na pierwszym miejscu list najpopularniejszych wirusów.


W pierwszej połowie września jeden z największych na świecie producentów komputerów Digital Equipment Coporation (DEC) nieświadomie rozpowszechnił kopię wirusa Concept uczestnikom konferencji DECUS zorganizowanej w Dublinie. Na szczęście, wirus został szybko wykryty, a epidemia powstrzymana. Do dziś istnieje w obiegu ponad sto znanych wersji wirusa Concept.


Szybko rozprzestrzeniał się również Green Stripe, wirus dla programu AmiPro, popularnego wówczas edytora tekstu. Kod źródłowy tego wirusa został opublikowany jako darmowy dodatek do magazynu Marka Ludwiga - Underground Technology Review.


Pojawienie się makrowirusów oznaczało nowe wyzwania dla twórców oprogramowania antywirusowego. Wykrywanie takich wirusów wymagało nowych technologii. Na początku pojawiły się makrowirusy dla dokumentów MS Word, po czym zaczęły powstawać szkodniki dla pozostałych aplikacji pakietu MS Office.


Angielska filia wydawnictwa Ziff-Davis dwukrotnie wyróżniła się negatywnie w roku 1995. Po raz pierwszy we wrześniu, gdy wraz z wydawanym przez nią czasopismem PC Magazine (wersja angielska) prenumeratorzy otrzymali dyskietkę zawierającą wirus Sampo. Wkrótce firma odkryła swoją pomyłkę i oprócz przeprosin zaoferowała czytelnikom darmowy program antywirusowy. Jak na ironię, dyskietka ta była dodatkiem do numeru, w którym zamieszczono artykuły na temat wyników testów antywirusowych dla systemu Novell NetWare.


W połowie grudnia kolejny magazyn wydawany przez wydawnictwo Ziff-davis - Computer Life - dostarczył swoim czytelnikom dyskietkę zawierającą życzenia bożonarodzeniowe. Jak się później okazało, czytelnicy otrzymali również "prezent" w postaci wirusa Parity Boot.


Organy egzekucyjne również powzięły pewne działania w walce przeciw cyberprzestępczości. 16 stycznia New Scotland Yard's Computer Crime Unit doprowadził do postawienia przed sąd Christophera Pile'a za tworzenie i rozpowszechnianie wirusów. Bezrobotny Pile, czy też Black Baron - jak zwano go w podziemiu, został oskarżony o napisanie wirusów Queeg i Pathogen, jak również generatora polimorficznego SMEG. Po 10 miesiącach Pile przyznał się do winy i został skazany na 18 miesięcy pozbawienia wolności.

 
1996


Już na początku roku 1996 pojawiły się dwa interesujące wirusy: Boza, pierwszy wirus dla Windows 95; epidemię spowodował wirus Zhengxi - polimorficzny wirus napisany przez Denisa Petrovyma, rosyjskiego programistę z Sankt Petersburga.


W marcu 1996 roku miała miejsce pierwsza epidemia w systemie Windows 3.x spowodowana przez wirusa Win.Tentacle. Wirus ten zainfekował sieć komputerową szpitala i kilku innych francuskich organizacji. Przeszedł on do historii jako pierwszy wykryty na wolności wirus atakujący system Windows. Do tej pory wszystkie wirusy dla tego systemu trzymane były w kolekcjach lub w elektronicznych dziennikach twórców wirusów. Zanim pojawił się Win.Tentacle, na wolności 'grasowały' jedynie wirusy sektora startowego, DOS-a oraz makrowirusy.


W czerwcu 1996 roku pojawił się wirus OS2.AEP, pierwszy wirus infekujący pliki OS/2 EXE. Wcześniej wirusy zapisywały się do lokacji pliku, po czym niszczyły plik lub wykorzystywały technikę wirusa towarzyszącego.


W czerwcu 1996 roku pierwszy wirus dla Microsoft Excel - Laroux - został wykryty na wolności w dwóch firmach naftowych na Alasce i w Południowej Afryce. Wirus pojawił się w tych dwóch miejscach niemal równocześnie. Podobnie jak wirusy dla MS Worda, Laroux posiadał funkcję dodatkową opartą na makrach, małych aplikacjach napisanych w języku programowania Visual Basic. Programy te mogły przenikać do tabel Excela, podobnie jak przenikały do MS Worda. Okazało się, że wbudowany do Excela Visual Basic również umożliwiał tworzenie wirusów. To właśnie wirus Laroux wywołał epidemię w wielu moskiewskich firmach w kwietniu 1997 roku.


Pod koniec lata dwóch twórców wirusów: Nightmare Joker i Wild Worker opublikowało niemal jednocześnie konstruktory makrowirusów: Word Macro Virus Construction Kit oraz Macro Virus Development Kit. Obydwa mogły zostać wykorzystane zarówno w angielskiej, jak i niemieckiej wersji MS Worda.


W połowie października miał miejsce kolejny incydent wymierzony w system bezpieczeństwa firmy Microsoft. Wirus Wazzu został wykryty w jednym z dokumentów Worda zawierającym opis pomocy technicznej dla produktów firmy Microsoft w Szwajcarii. Później, ten sam wirus został znaleziony na dysku kompaktowym rozpowszechnianym podczas wystawy technologii komputerowych Orbit w Bazel, w Szwajcarii. Na tym nie skończyły się problemy Microsoftu z wirusem Wazzu. We wrześniu wirus ten 'znalazł się' na dyskach kompaktowych Microsoft Solution Provider. W grudniu 1996 roku pojawił się pierwszy wirus dla systemu Windows 95 rezydujący w pamięci. Wirus ten ładował się do systemu jako sterownik VxD, przechwytywał wywołania plików i infekował je.


Można uznać, że rok 1996 zapoczątkował rozpowszechnienie ataków podziemia komputerowego na systemy operacyjne Windows 95 i Windows NT, jak również na inne aplikacje, takie jak Microsoft Office. Od roku 1996 do 1997 pojawiło się kilkanaście wirusów dla systemów Windows 95/NT oraz kilkaset makrowirusów. Wiele z nich wykorzystywało całkowicie nowe techniki i innowacyjne metody, takie jak zdolność ukrywania się, czy polimorfizm. W rezultacie, wirusy komputerowe osiągnęły nowy poziom rozwoju, atakując od tego momentu 32-bitowe systemy operacyjne. Przebyły tę samą ścieżkę ewolucyjną, co wirusy dla DOS-a dziesięć lat wcześniej. Zmienił się również diametralnie krajobraz wirusów. Pod koniec roku Computer Associates wykupił producenta programu antywirusowego InocuLAN - Cheyenne Software. 


1997

W lutym 1997 roku pojawił się Linux Bliss - pierwszy wirus dla systemu operacyjnego Linux. Wirusy przeniosły się więc do innego środowiska. Te niezwykle rzadkie wirusy znacznie ewoluowały od momentu, gdy po raz pierwszy pojawiły się na scenie. Dla tej platformy rozwinęły się wirusy działające w tle oraz wykonywalne trojany. Gdyby Linux był chociaż w połowie tak popularny jak Windows, liczba wirusów stworzonych dla tego systemu byłaby znacznie wyższa. Opublikowanie Office 97 przez Microsoft było znaczącym wydarzeniem, ponieważ wirusy 'wyczuły' tę aplikację niemal natychmiast. Pierwsze wirusy dla MS Office 97 okazały się prawie identyczne, co ich poprzednicy, zmienił się tylko ich format. Wymuszone to było znacznymi zmianami wprowadzonymi w języku programowania Visual Basic. Jednak wkrótce pojawiły się nowe makrowirusy napisane wyłącznie dla MS Office 97.


W marcu 1995 pojawił się makrowirus 'ShareFun' dla MS Word 6/7, co zapoczątkowało nowy rozdział w historii komputerów. By to pierwszy wirus tego typu rozprzestrzeniający się za pomocą wiadomości e-mail, w szczególności MS Mail.


W kwietniu 1997 roku został wykryty wirus Homer; był to pierwszy robak sieciowy wykorzystujący do rozprzestrzeniania FTP. Czerwiec 1997 roku przyniósł ze sobą pierwszego wirusa samoszyfrującego dla systemu Windows 95 - Win95.Mad. Wirus ten, stworzony w Rosji, został rozesłany do kilku BBS-ów w Moskwie wywołując poważną epidemię. W listopadzie 1997 roku narodził się wirus 'Esperanto'. Była to próba, na szczęście nieudana, stworzenia wieloplatformowego wirusa z możliwością infekowania systemów DOS, Windows oraz MacOs. Rozwój Internetu, a w szczególności pojawienie się mIRC (Internet Relay Chat) wzbudziło ogromne zainteresowanie, również twórców wirusów. Wkrótce powstały nowe złośliwe programy.

W grudniu 1997 roku społeczność antywirusowa ogłosiła pojawienie się zupełnie nowego typu robaka komputerowego rozprzestrzeniającego się przez kanały IRC. Analiza mIRC, jednego z najpopularniejszych klientów mIRC, wykazała niebezpieczną lukę w zabezpieczeniach. Katalog dla plików ściąganych przez IRC pokrywał się z katalogiem zawierającym plik konfiguracyjny SCRIPT.INI. Plik SCRIPT.INI, który zawierał ciało robaka, mógł zatem zostać przeniesiony do odległego komputera, gdzie automatycznie zastąpiłby oryginalny plik konfiguracyjny. Przy ponownym uruchomieniu mIRC uaktywniłby złośliwy kod, a robak wysłałby własną kopię do innych komputerów. Błąd ten został jednak szybko poprawiony, a dość prymitywne robaki IRC znikły jeszcze przed końcem lata. Później pojawiły się jednak złożone robaki IRC, które aktywnie przeszukiwały w celu znalezienia plików SCRIPT.INI (w klientach mIRC), plików EVENTS.INI (w klientach pIRCh) oraz innych. Ich działanie było podobne do robaków pocztowych: użytkownik otrzymywał plik EXE, COM lub BAT, który po uruchomieniu zastępował oryginalny plik konfiguracyjny.


Jednym z ważniejszych wydarzeń 1997 roku było odłączenie się jednego z działów firmy KAMI, na którego czele stał Eugene Kaspersky. Dział ten stał się niezależną firmą znaną jako Kaspersky Lab, która obecnie zdobyła pozycję niekwestionowanego lidera technologicznego w branży antywirusowej. Od 1994 roku główny produkt firmy, AntiViral Toolkit Pro, nieustannie osiąga wysokie rezultaty w licznych testach przeprowadzanych przez różne laboratoria na całym świecie. Po utworzeniu niezależnego podmiotu gospodarczego ta niewielka grupa specjalistów zdołała w ciągu dwóch lat przebić się do czołówki w kraju i być rozpoznawaną na całym świecie. W krótkim czasie rozwinęła i opublikowała programy zawierające nowe technologie bezpieczeństwa przeznaczone dla praktycznie wszystkich popularnych platform oraz stworzyła sieć międzynarodowej dystrybucji i pomocy technicznej.


W październiku 1997 roku firma Kaspersky Lab podpisała z fińską firmą Data Fellows (która zmieniła następnie nazwę na F-Secure Corporation) umowę licencyjną na silnik antywirusowy w najnowszym produkcie, FSAV (F-Secure Anti-Virus). Wcześniej Data Fellows była znanym producentem programu antywirusowo F-PROT.


Rok 1997 zostanie również zapamiętany jako ten, który obfitował w drobne utarczki. Kilku większych producentów programów antywirusowych zostało uwikłanych w skandale. Na początku roku McAfee ogłosił wykrycie 'oszustwa' w programach jednego z ich głównych konkurentów, firmy Dr. Solomon's. Firma McAfee utrzymywała, że ten konkurencyjny program rozpoczynał skanowanie w trybie normalnym, a po wykryciu kilku wirusów przechodził do trybu intensywnego (lub - według słów McAfee'ego - 'trybu oszukańczego'). Dzięki temu wykrywane były wirusy, których program nie zauważyłby podczas pracy w trybie standardowym. W konsekwencji, w testach niezainfekowane dyski dawały dobre wyniki szybkości, a testy skanowania kolekcji wirusów - dobre wyniki wykrywalności.


Nie trzeba było długo czekać na reakcję Dr Solomon's. Firma pozwała McAfee'ego, który w swojej kampanii marketingowej wykorzystał dyskredytujące ją hasło 'The Number One Choice Worldwide. No Wonder The Doctor's Left Town'. Była to oczywista aluzja do założyciela firmy Dr. Solomon's, Alana Solomona, który wcześniej przekazał kontrolę nad firmą ścisłemu kierownictwu.


Jeszcze większy skandal wywołała prawdopodobnie sprawa tajwańskiego producenta Trend Micro, który oskarżył dwie czołowe firmy antywirusowe, McAfee'ego i Symanteca, o naruszenie ich patentu dotyczącego technologii skanowania antywirusowego poprzez Internet i pocztę elektroniczną. Wkrótce Symantec przystąpił do wojny z własnymi oskarżeniami i zarzucił McAfee'emu wykorzystanie kodu produktu Symanteca, Norton AntiVirus.


Rok zakończył się ogłoszeniem przez dwie firmy: MacAfee Associates i Network General zamiaru połączenia się w jedną korporację Network Associates Inc (NAI) w celu rozszerzenia oferty o inne systemy bezpieczeństwa komputerowego (takie jak szyfrowanie, skanowanie sieciowe itd.). Jednak, pod koniec roku 1999 kierownictwo NAI zdecydowało ożywić markę McAfee oraz linię produktów antywirusowych i firma powróciła do swojej starej nazwy.

 

1998


Ataki wirusowe na MS Windows, MS Office i aplikacje sieciowe nabierały tempa, a wirusy wykorzystywały nowe nośniki infekcji i coraz bardziej złożone technologie. Pojawił się szeroki wachlarz koni trojańskich przeznaczonych do kradzieży haseł (rodzina PSW) oraz do zdalnej administracji komputerami (backdoory). Kilka magazynów komputerowych rozpowszechniało dyski zainfekowane wirusami dla systemu Windows - CIH i Marburg.

Płyty CD zainfekowane wirusem Marburg dołączane były często do angielskich, słoweńskich, szwajcarskich, a później włoskich wersji magazynu PC Gamer. Wirus ten został wykryty w programie elektronicznej rejestracji interaktywnego dysku MGM z grą Wargames. Pod koniec września wykryto wirusa AutoStart na dyskach, które miały być dostarczane wraz z programem Corel DRAW 8.1 dla systemu MacOS.


Początek roku przyniósł epidemię wywołaną przez całą rodzinę wirusów Win32.HLLP.DeTroi, które nie tylko infekowały pliki Win32 EXE, ale mogły również przekazywać twórcy wirusa informacje o zaatakowanych komputerach. Ponieważ wirus wykorzystywał biblioteki systemowe używane tylko we francuskiej wersji systemu Windows, epidemię odczuły tylko państwa francuskojęzyczne.


W lutym wykryto wirusa Excel4Paix (lub Formula.Paix). Ten makrowirus instalował się w tabelach Excela przy użyciu nietypowego makroobszaru formuł, które mogły zawierać samoczynnie powielający się kod. Trochę później tego samego miesiąca pojawiły się wirusy polimorficzne Windows32: Win95.HPS i Win95.Marburg. Co więcej, zostały one wykryte na wolności. Twórcy oprogramowania antywirusowego zostali zmuszeni do opracowania w bardzo krótkim czasie nowych metod wykrywania wirusów polimorficznych, które wcześniej istniały tylko dla systemu DOS.


W marcu został wykryty AccesiV, pierwszy wirus dla Microsoft Access. W przeciwieństwie do wcześniejszych wirusów Word.Concept i Excel.Laroux, nie wywołał on paniki, ponieważ większość użytkowników zdążyła już zaakceptować fakt, że aplikacje Microsoftu zawierają wiele luk. Mniej więcej w tym samym czasie pojawił się kolejny wirus o nazwie Cross. Był to pierwszy wieloplatformowy makrowirus zdolny do jednoczesnego zainfekowania dokumentów w dwóch aplikacjach Microsoft Office, tj. Word i Access. W ślad za wirusem Cross pojawiło się kilka innych makrowirusów przenoszących swoje kody z jednej aplikacji Office do innej. Najbardziej znanym z nich był Triplicate (znany również jako Tristate), który infekował Worda, Excela i PowerPointa.


W maju 1998 roku Red Team stał się pierwszym wirusem infekującym pliki Windows EXE i rozprzestrzeniającym się przy użyciu klienta pocztowego Eudora. Czerwiec przyniósł ze sobą wirusa Win95.CIH, który spowodował epidemię na skalę masową, a następnie globalną infekując tysiące sieci komputerowych i komputerów domowych. Źródło epidemii zostało zidentyfikowane w Tajwanie, gdzie nieznany haker wysłał zainfekowane pliki do serwera list mailingowych. Stamtąd wirus rozprzestrzenił się do Stanów Zjednoczonych, gdzie zainfekowane pliki przedostały się na kilka popularnych serwerów i przeniosły wirusa do gier komputerowych. Najprawdopodobniej to właśnie serwery gier były główną przyczyną zakrojonej na szeroką skalę epidemii, która trwała przez cały rok. Wirus zdystansował pod względem popularności wcześniejsze 'supergwiazdy', takie jak Word.CAP i Excel.Laroux.

Najbardziej znamienna była funkcja dodatkowa wirusa: w zależności od dnia infekcji wirus wymazywał Flash BIOS, co w niektórych przypadkach powodowało konieczność wymiany płyty głównej. Złożone procedury wirusa CIH wymusiły na producentach programów antywirusowych znaczne przyspieszenie prac nad nowymi rozwiązaniami. W sierpniu 1998 roku kontrowersję wywołał BackOrifice (lub Backdoor.BO), który miał być ukrytym narzędziem przeznaczonym do zdalnej administracji komputera w całej sieci. Wkrótce pojawiły się podobne wirusy, takie jak NetBus i Phase.


W sierpniu pojawił się pierwszy złośliwy moduł wykonywalny Java, Java.StrangeBrew. Wirus ten nie przedstawiał żadnego konkretnego niebezpieczeństwa dla użytkowników Internetu, unaoczniał jedynie fakt, że wirusy można również znaleźć w aplikacjach aktywnie używanych w przeglądaniu serwerów sieciowych.


W listopadzie 1998 roku złośliwe programy rozwijały się dalej. Trzy wirusy zainfekowały skrypty Visual Basica (pliki VBS), które aktywnie wykorzystywano do tworzenia stron internetowych. Jednocześnie Kaspersky Lab opublikował szczegółowe badania o potencjalnych zagrożeniach ze strony wirusów VBS. Wielu specjalistów zarzuciło firmie, że jej badania niepotrzebnie wywołały panikę. Pół roku później, gdy wybuchła epidemia robaka LoveLetter, nikt nie miał wątpliwości, że prognozy Kaspersky'ego były jak najbardziej słuszne. Do dzisiaj ten rodzaj wirusa nie schodzi z pierwszych miejsc list najpopularniejszych i najniebezpieczniejszych typów wirusów.


Logicznym następstwem wirusów VBScript były wirusy HTML, takie jak HTML.Internal. Stawało się jasne, że wysiłki twórców wirusów skoncentrowały się na aplikacjach sieciowych. Autorzy wirusów skierowali swoje działania na tworzenie robaków sieciowych, które wykorzystywały wady w MS Windows i Office oraz infekowały zdalne komputery poprzez serwery sieciowe lub pocztę elektroniczną.


Następną aplikacją MS office, która padła ofiarą wirusów był PowerPoint. Pierwszym, który zaatakował ten cel był wirus nieznanego pochodzenia o nazwie Attach. Wirus ten pojawił się w grudniu 1998 roku, a w ślad za nim ukazały się dwa inne: ShapeShift i ShapeMaster, prawdopodobnie tego samego autorstwa. Pojawienie się wirusów atakujących PowerPointa po raz kolejny przyprawiło twórców programów antywirusowych o ból głowy. Pliki tej aplikacji tworzone są w formacie OLE2, który określa sposób skanowania w poszukiwaniu wirusów w plikach DOS i XLS. Jednakże moduły VBA w formatach PPT przechowywane są w formatach skompresowanych, co oznaczało konieczność opracowania nowych algorytmów w celu ich rozpakowywania i ułatwienia przeszukiwania antywirusowego. Mimo złożoności pozornie prostego zadania prawie wszyscy producenci programów antywirusowych dodali do funkcji swoich programów ochronę przed wirusami atakującymi PowerPointa.


W styczniu magazyn Virus Bulletin rozpoczął nowy projekt: VB 100%. Regularne testowanie produktów antywirusowych miało na celu ustalenie, czy rozwiązania mogą w 100% wykrywać wirusy występujące na wolności. Obecnie VB 100% uznawany jest za jedno z najbardziej renomowanych niezależnych laboratoriów testowych. Przeobrażeniu uległ również rynek programów antywirusowych.

W maju Symantec oraz IBM ogłosiły połączenie sił w celu stworzenia wspólnego programu antywirusowego. Wynik ich współpracy miał być rozprowadzany przez Symanteca pod nazwą firmy, podczas gdy produkt IBM, IBM AntiVirus miał zostać wycofany. Pod koniec września Symantec ogłosił nabycie firmy produkującej oprogramowanie antywirusowe od Intel Corporation, LANDesk Virus Protect. Dwa tygodnie później, swoim kolejnym zakupem Symantec wywołał kolejne zaskoczenie w branży, tym razem chodziło o QuarterDeck kupionego za 65 milionów dolarów. Oferta firmy zawierała takie produkty antywirusowe jak ViruSweep.


Te agresywne taktyki nie uszły uwadze amerykańskiego giganta antywirusowego NAI, który 13 sierpnia ogłosił zakupienie jednego ze swoich głównych konkurentów, angielską firmę Dr. Solomon's. Firma ta została przejęta za rekordową kwotę 640 milionów dolarów. Wydarzenia te wywołały prawdziwy szok w branży. Umową handlową zakończył się dawny konflikt między dwoma potężnymi graczami z branży, powodując zniknięcie ze sceny jednego z głównych i technologicznie silnych producentów oprogramowania antywirusowego.


Równie interesujący był zakup firmy EliaShim, producenta programu antywirusowego E-Safe. Firmę zakupił w grudniu Alladdin Knowledge System, znany producent sprzętu i oprogramowania z dziedziny bezpieczeństwa komputerowego.


Ciekawy incydent dotyczył opublikowania ostrzeżenia o wirusie komputerowym, które pojawiło się w wydaniu magazynu New York Times z 21 grudnia. Autor ostrzegał użytkowników przed pojawieniem się wirusa rozprzestrzeniającego się przy pomocy poczty elektronicznej, który został już wykryty w kilku sieciach. Jak się później okazało, tym groźnym wirusem był po prostu dobrze znany makrowirus znanym jako Class.

1999

Chociaż brzmi to dziwnie, najważniejsza wiadomość tego roku nie dotyczyła pojawienia się nowego wirusa komputerowego, a ogłoszenia planowanego od dawna zakupu australijskiego producenta oprogramowania antywirusowego Cyber dokonanego przez giganta branży oprogramowania komputerowego - Computer Associates (CA). Tak więc, CA - po zakupieniu Cheyenne Software pod koniec 1996 - zwiększyła swoją kolekcję o kolejny produkt antywirusowy. Oba produkty istnieją do dziś pod nazwami CA Vet Anti-Virus i CA InnoculateIT.


Wirusy nie pozostawały jednak bezczynne i w styczniu byliśmy świadkami globalnej epidemii wirusa Happy99 (znanego również jako Ska). Był to pierwszy współczesny robak, który zapoczątkował kolejny nowy rozdział w historii rozwoju złośliwych programów. Do rozprzestrzeniania wirus ten wykorzystywał MS Outlooka, który stał się standardem w korporacjach zarówno w Europie, jak i Stanach Zjednoczonych. Chociaż Happy99 miał swoją premierę w 1999 r., do dziś wirus ten regularnie pojawia się w pierwszej dziesiątce najbardziej szkodliwych programów.


Prawie w tym samym czasie wykryty został interesujący makrowirus dla MS Worda: Caligula. Przeszukiwał on rejestr systemowy w celu znalezienia kluczy odpowiadających programom PGP (Pretty Good Privacy) oraz odpowiednich baz danych. Po znalezieniu takich baz danych wirus uruchamiał sesję FTP i potajemnie wysyłał pliki do zdalnego serwera. Pod koniec lutego zamieszanie wywołał wirus SK. Był to pierwszy wirus infekujący za pomocą plików Windows HLP. 26 marca miała miejsce globalna epidemia wywołana przez wirusa Melissa, pierwszego makrowirusa dla MS Worda posiadającego także funkcjonalność robaka internetowego. Natychmiast po infekcji wirus skanował książkę adresową w MS Outlooku i przesyłał własne kopie pod 50 pierwszych adresów.

Podobnie jak Happy99, wirus Melissa dokonywał tego bez zgody czy wiedzy użytkownika, jednak wiadomości wyglądały jakby zostały przesłane w jego imieniu. Na szczęście, wirus ten nie był bardzo złożony i twórcy oprogramowania antywirusowego w niedługim czasie dodali odpowiednie wpisy do swoich baz danych. Epidemia została szybko opanowana. Mimo to wirus zdążył wyrządzić poważne szkody w wielu systemach komputerowych: liderzy branży tacy jak Microsoft, Intel oraz Lockheed Martin zostali zmuszeni do tymczasowego wyłączenia swoich korporacyjnych systemów pocztowych. Straty wyrządzone przez wirusa oszacowano na kilkadziesiąt milionów dolarów.


Amerykańskie organy ścigania (a dokładnie jednostki do zwalczania cyberprzestępczości) zareagowały wyjątkowo szybko na pojawienie się wirusa Melissa. Wkrótce zidentyfikowano i aresztowano jego twórcę. Okazał się nim 31-letni David L. Smith, programista z New Jersey. 9 grudnia został on uznany za winnego i skazany na 10 lat pozbawienia wolności oraz na grzywnę w wysokości 400 000 dolarów.


Również po drugiej stronie oceanu organy ścigania wykazały się podobną aktywnością. W Tajwanie zdemaskowano autora wirusa CIH, który do tej pory znany był jedynie jako Chen Ing Hao. Był nim student tajwańskiej politechniki. Ponieważ żadna z miejscowych firm nie zgłosiła przeciwko niemu zarzutów, policja nie miała podstaw do aresztowania.


7 maja wirus wtargnął do kanadyjskiej firmy Corel, a konkretnie zaatakował produkt, który stanowił dla niej 'kopalnię złota', czyli Corel DRAW. Wirus Gala (znany również jako GaLaDRieL) został napisany w języku Corel SCRIPT i stał się pierwszym wirusem infekującym pliki programów Corel DRAW, Corel PHOTO-PAINT oraz Corel VENTURA.


Kolejna epidemia wybuchła na samym początku lata, tym razem z udziałem robaka internetowego ZippedFiles (znanego również jako ExploreZip). Wirus przybrał formę pliku EXE, który po zainstalowaniu niszczył pliki kilku popularniejszych aplikacji. Chociaż robak nie był tak szeroko rozpowszechniony jak Melissa, oszacowano, że spowodował siedmiokrotnie wyższe straty. Producenci programów antywirusowych zareagowali natychmiastowym opublikowaniem szczepionek, jednak w grudniu robak powrócił w zmodyfikowanej formie. Ciało robaka zostało skompresowane przy użyciu narzędzia Neolite. Programy antywirusowe, które nie rozpoznawały tego formatu pliku skompresowanego, przepuszczały robaka. W czasie gdy robak pojawił się w swoim nowym wcieleniu, żaden z dostępnych programów antywirusowych nie rozpoznawał jego formatu. AntiViral Toolkit Pro (AVP) jako pierwszy program antywirusowy rozpoznawał pliki spakowane narzędziem Neolite (od czerwca 2000 roku).


W sierpniu wyryto robaka internetowego o nazwie Toadie (lub Termite). Oprócz infekowania plików systemu DOS i Windows wirus załączał własne kopie do wiadomości e-mail wysyłanych za pomocą programu pocztowego Pegasus oraz próbował rozprzestrzeniać się przez kanały IRC.


Październik przyniósł branży komputerowej trzy kolejne niespodzianki. Pierwszą z nich było pojawienie się wirusa Infis - pierwszego wirusa dla tego systemu - który instalował się na najwyższych poziomach zabezpieczenia i atakował sterowniki systemowe. Z tego względu wirus był trudny do powstrzymania. Drugą niespodziankę stanowiły ostrzeżenia producentów oprogramowania antywirusowego przed pierwszym wirusem komputerowym dla MS Project. Trzecim nieoczekiwanym wydarzeniem było pojawienie się w lipcu kolejnego wirusa skryptowego. Freelinks stał się prekursorem jednego z dobrze znanych wirusów LoveLetter.


W listopadzie światem wstrząsnęło pojawienie się nowej generacji robaków. Robaki te rozprzestrzeniały się za pomocą wiadomości e-mail nie posiadających załączników i przedostawały się do komputerów po otwarciu przez użytkownika zainfekowanej wiadomości. Pierwszym z takich robaków był Bubbleboy, a kolejnym KakWorm. Wirusy te wykorzystywały lukę w przeglądarce Internet Explorer. Chociaż Microsoft opublikował łatę jeszcze w tym samym miesiącu, KakWorm siał zniszczenie jeszcze przez długi czas. Również w listopadzie zarówno w Stanach Zjednoczonych, jak i w Europie odnotowano kilka przypadków infekcji wirusem systemu Windows - FunLove.


7 grudnia przeszedł do historii z powodu wykrycia ostatniego z długiej linii trojanów, który został napisany przez brazylijskiego twórcę wirusów znanego jako Vecna. Ten bardzo groźny i złożony wirus o nazwie Babylonia otworzył nowy rozdział w historii pisania wirusów. Był to pierwszy robak z możliwością samoczynnego odmładzania dokonywanego zdalnie. Co minutę robak łączył się z serwerem w Japonii i ściągał listę modułów wirusów. Jeżeli natrafił na wirusy, które były nowsze niż te znajdujące się na zainfekowanym komputerze, natychmiast je ściągał. Technikę tę zastosują później wirusy Sonic, Hybris i inne.


W połowie roku branża antywirusowa oficjalnie podzieliła się na dwa obozy charakteryzujące się odmiennym podejściem do potencjalnych zagrożeń Y2K. Pierwszy obóz propagował przekonanie, że podziemie komputerowe przygotowało niespodziankę w postaci setek tysięcy wirusów mogących porazić cywilizację ludzką. Podtekst tych przestróg nie pozostawiał wątpliwości: zainstalowanie programów antywirusowych może was ocalić przed 'zagładą'. Drugi obóz naturalnie zwalczał pierwszy usiłując przekonać przerażonych użytkowników, aby zachowali spokój. Później ostrzeżenia te okazały się bezpodstawne i rok 2000 nie rozpoczął się żadną większą katastrofą. Z ciekawostek, płyta CD dołączona do listopadowego wydania węgierskiego magazynu Uj Alaplap oprócz przydatnych informacji zawierała bardzo przykrą niespodziankę: dwa makro wirusy dla MS Worda - Class.B oraz Opey.A.


2000


Rok rozpoczął się przykrą niespodzianką dla użytkowników systemów Windows 2000 oraz Visio, popularnej aplikacji do tworzenia diagramów i wykresów. Microsoft nie zakończył jeszcze ogłaszać publikacji całkowicie funkcjonalnej, komercyjnej wersji swojego nowego systemu operacyjnego, gdy członkowie należącej do podziemia komputerowego grupy 29A wypuścili na wolność wirusa Inta - pierwszego szkodnika, który infekował pliki systemu Windows 2000. Niedługo potem niemal jednocześnie pojawiły się dwa wirusy: Unstable oraz Radiant, które oznaczały koniec dla aplikacji Visio. Ironia losu polegała na tym, że krótko przed pojawieniem się tych wirusów Microsoft wykupił Visio. Tak więc okazało się, że wirusy nie omijają niczego, co należy do Microsoftu.


W kwietniu odnotowano pierwszego makrowirusa rosyjskiego pochodzenia, który atakował MS Worda. Proverb został wykryty w siedzibie brytyjskiego premiera. Można mieć jedynie nadzieję, że brytyjskie władze wzięły sobie do serca rosyjskie przysłowie: "Nie odkładaj do jutra tego, co możesz wypić dzisiaj".


5 maja miała miejsce epidemia spowodowana przez wirusa skryptowego LoveLetter. Stało się dokładnie tak, jak przewidywał Eugene Kaspersky w listopadzie 1998 r. Naiwni użytkownicy nie mieli nawet cienia podejrzeń, że niewinne pliki VBS oraz TXT mogłyby zawierać szkodliwego wirusa. Po uruchomieniu wirus uszkadzał szereg plików i wysyłał własne kopie pod wszystkie adresy zawarte w książce adresowej MS Outlooka. Jawność kodu źródłowego w mniejszym lub większym stopniu gwarantowała pojawienie się w ciągu roku nowych modyfikacji tego wirusa. Obecnie krąży ich ponad 90.


6 czerwca wykryto wirusa Timfonica. Był to pierwszy wirus komputerowy, który w ograniczony sposób wykorzystywał telefony komórkowe. Oprócz rozprzestrzeniania się za pomocą wiadomości e-mail, wirus wysyłał wiadomości SMS na losowe numery telefonów komórkowych w sieci MoviStar należącej do światowego giganta branży telekomunikacyjnej - firmy Telefonica. Wirus Timifonica nie spowodował żadnych szkód. Media okrzyknęły go jednak pierwszym 'komórkowym' wirusem.


Lato 2000 było gorącym okresem, szczególnie jeżeli chodzi o wirusy atakujące telefony komórkowe. Chociaż w tym czasie zarówno twórcy wirusów, jak i eksperci z dziedziny programów antywirusowych biorą sobie urlop, tym razem ci pierwsi postanowili zaskoczyć drugich. W lipcu grupa znana jako Cult of Death Cow stworzyła nową wersję wirusa Back Orifice (BO2K). Miało to miejsce na corocznej konferencji DefCon i wywołało lawinę wiadomości wysyłanych przez przerażonych użytkowników do producentów oprogramowania antywirusowego. W rzeczywistości nowa wersja nie stanowiła większego zagrożenia niż poprzednie wersje i wkrótce została dodana do baz danych twórców oprogramowania antywirusowego. Cechą wyróżniającą BO2K była tendencja w kierunku legalnych, komercyjnych narzędzi zdalnej administracji; program był widoczny nawet podczas instalacji. Mimo to wciąż mógł być wykorzystywany do złych celów, a twórcy oprogramowania antywirusowego klasyfikowali go jako Backdoor Trojan.


W lipcu pojawiły się trzy niezwykle interesujące wirusy. Star był pierwszym wirusem dla pakietów AutoCAD. Dilber wyróżniał się na tle innych wirusów, ponieważ zawierał kod pięciu innych wirusów, łącznie z wirusami CIH, SK i Bolzano. W zależności od daty, Dilber uruchamiał procesy jednego ze swoich składników, za co zyskał przydomek Shuttle. Trzecim ciekawym wirusem był robak internetowy Jer, który nieumiejętnie wykorzystywał sposoby rozprzestrzeniania się. Programy skryptowe były 'wrzucane' na strony WWW, które uruchamiały się automatycznie przy otwieraniu odpowiedniej strony w HTML. Następnie użytkownicy otrzymywali powiadomienie o znalezieniu na dysku niezidentyfikowanego pliku.

Było to ryzyko wykalkulowane uwzględniające błąd człowieka: zakładano, że użytkownicy, chcąc pozbyć się programu skryptowego, wybiorą odpowiedź 'tak'. Pojawienie się robaka Star ugruntowało nowy trend w metodach rozprzestrzeniania się wirusów poprzez Internet. Najpierw, robak umieszczany jest na stronie WWW, następnie przeprowadzana jest masowa kampania marketingowa mająca przyciągnąć użytkowników. Wykalkulowane ryzyko opłacało się: w każdym tysiącu użytkowników znajdowało się kilkadziesiąt takich, którzy 'wpuszczali' wirusa.


W sierpniu wykryto wirusa Liberty - pierwszego szkodliwego trojana atakującego system operacyjny PalmOS urządzenia Palm Pilot. Po instalacji wirus usuwał pliki, nie potrafił jednak rozprzestrzeniać się. We wrześniu ta nowa klasa szkodliwych programów powiększyła się o pierwszego prawdziwego wirusa dla systemu PalmOS - Phage. Był to klasyczny przykład wirusa pasożytniczego, który po zainstalowaniu i zainfekowaniu plików usuwał je i wpisywał swój własny kod.


Na początku września wykryto wirusa o nazwie Stream, który potrafił manipulować alternatywnymi strumieniami danych (ADS) systemów plików NTFS. Wirus ten nie stanowił dużego zagrożenia. O wiele niebezpieczniejsza była technologia uzyskiwania dostępu do alternatywnych strumieni danych, ponieważ żaden program antywirusowy nie potrafił skanować tej lokalizacji. Niestety wirus ten nie wywołał odpowiedniej reakcji ze strony firm produkujących oprogramowanie antywirusowe, które oskarżyły Kaspersky'ego o sianie paniki. Mimo tych oskarżeń żadna z konkurencyjnych firm nie potrafiła podać konkretnych argumentów potwierdzających ich stanowisko odnośnie bezpieczeństwa ADS w systemach plików NTFS.

Problem ochrony antywirusowej dla NTFS pozostaje do dzisiejszego dnia ważną nierozwiązaną kwestią, ponieważ niewiele skanerów antywirusowych nauczyło się przeszukiwać NTFS w celu znalezienia szkodliwego oprogramowania.


W październiku pojawił się pierwszy wirus dla plików PIF (Fable) oraz pierwszy wirus napisany w języku skryptowym PHP (Pirus). Obydwa wirusy nie zostały jeszcze wykryte na wolności. W tym samym czasie wybuchł skandal: grupa nieznanych hakerów z St. Petersburga włamała się do wewnętrznych systemów Microsoftu pozostawiając je zabezpieczeń na okres kilku miesięcy. Do uzyskania dostępu włamywacze wykorzystali podstawową lukę oraz robaka sieciowego QAZ. Ciekawostką związaną z tym wydarzeniem było to, że włamanie do systemu zostało wykryte już po dodaniu tego robaka do praktycznie wszystkich baz danych. Wywołało to podejrzenia o niekompetencji pracowników firmy Microsoft lub, raczej, ich złych intencji. Do momentu, w którym powstawał ten tekst, nie wykryto jeszcze winnych.


Istotne wydarzenie miało miejsce w listopadzie. Firma Kaspersky Lab, która w ciągu zaledwie trzech lat zdobyła pozycję jednego z głównych graczy w branży antywirusowej, zmieniła nazwę swojego flagowego produktu. Program AntiViral Toolkit Pro (AVP) przyjmuje nazwę Kaspersky Anti-Virus oraz nowe logo.


W listopadzie wykryto technologicznie złożonego i niebezpiecznego wirusa Hybris. Jego autorem był Brazylijczyk Vecna, który rozwinął swojego pierwszego samoczynnie odmładzającego się wirusa Babylonia, uwzględniając błędy we wcześniejszej wersji. Główną innowacją było użycie stron WWW oraz grup dyskusyjnych (w szczególności alt.comp.virus) w celu uruchomienia nowych modułów wirusa na zainfekowanych komputerach. Z uwagi na fakt, iż zamknięcie strony WWW nie było problemem, serwery grup dyskusyjnych były idealną alternatywą rozprzestrzeniania wirusów, ponieważ ich zamknięcie było znacznie trudniejsze. Inną nowością było to, że do identyfikacji modułów napisanych przez tego autora Hybris używał 128-bitowego klucza RSA.


Ogólnie, rok 2000 ponownie udowodnił, że poczta elektroniczna jest najlepszym medium rozprzestrzeniania wirusów. Według danych statystycznych firmy Kaspersky Lab, około 85% wszystkich odnotowanych infekcji zostało dokonanych za pomocą wiadomości e-mail. W tym roku wybili się również twórcy wirusów dla Linuksa. Łącznie, w roku 2000 stworzono 37 nowych wirusów i trojanów dla tego systemu operacyjnego. Liczba wszystkich wirusów dla Linuksa wynosiła 43. Oznaczało to siedmiokrotny wzrost w samym tylko roku 2000. Zmienił się również typ najczęściej atakujących wirusów. Do tej pory najpowszechniejszymi wirusami były makrowirusy, jednak od roku 2000 ich miejsce zajęły wirusy skryptowe.


2001

Rok 2001 ukazał dwa oblicza: z jednej strony nastąpił rozwój w dziedzinie rozwiązań antywirusowych, z drugiej strony zwiększyła się liczba ataków wirusów. Wraz ze wzrostem popularności Internetu klasyczne wirusy coraz częściej ustępowały miejsca robakom. Twórcy wirusów demonstrowali swoje preferencje do szkodliwego kodu, który rozprzestrzeniał się poprzez rozsyłanie plików w sieci lokalnej lub Internecie.


Znaczące epidemie

W 2001 roku miały miejsce poważne epidemie spowodowane przez następujące złośliwe programy wykorzystujące luki w aplikacjach oraz systemach operacyjnych: CodeRed, Nimda, Aliz oraz Badtransll. Robaki te wywołały epidemie na szeroką skalę, które zmieniły oblicze bezpieczeństwa komputerowego i wyznaczyły nowe kierunki rozwoju złośliwych programów na kilka przyszłych lat.


Pojawianie się ciągle nowych wariantów robaków LoveLetter, Magistr oraz SirCam ubarwiło krajobraz złośliwych programów, sprawiając, że użytkownicy oraz twórcy oprogramowania antywirusowo nie przestawali być czujni.


Luki

Luka jest 'dziurą' w legalnej aplikacji lub systemie operacyjnym, która może zostać wykorzystana przez twórcę wirusów: przez takie dziury złośliwy kod przenika do systemu.


Wirusy i robaki wykorzystujące luki są szczególnie niebezpieczne, ponieważ są instalowane i uruchamiane automatycznie niezależnie od czynności użytkownika. Na przykład, Nimda przenika do komputerów już podczas przeglądania treści wiadomości e-mail. CodeRed postąpił krok dalej: skanował Internet w poszukiwaniu komputerów zawierających luki i infekował je. Według statystyk laboratorium antywirusowego firmy Kaspersky Lab, złośliwe programy wykorzystujące luki stanowiły prawie 55% wszystkich szkodników wykrytych w 2001 r.


Twórcy wirusów słusznie skupili się na lukach w systemach. Tradycyjne metody infekcji stosowane przez klasyczne wirusy plikowe, gdzie to użytkownicy rozpoczynali cykl zarażania, nie były już tak skuteczne jak wcześniej. Dlatego, twórcy wirusów chętnie stosowali nowe techniki.


Poczta elektroniczna i Internet - główne źródła nowych zagrożeń

Statystyki laboratorium antywirusowego firmy Kaspersky Lab wykazały, że liczba ataków wirusów poprzez pocztę elektroniczną wzrosła w roku 2001 o 5% w porównaniu z rokiem ubiegłym, co stanowiło 90% całkowitej liczby ataków wirusów w roku 2001.


Rok 2001 okazał się przełomowym w ewolucji ataków wirusów poprzez Internet. Wcześniej, większość infekcji poprzez Internet wymagało, aby użytkownicy ściągnęli i uruchomili pliki z podejrzanych stron WWW. W 2001r. pojawiła się nowa technika infekcji: użytkownicy nie musieli już ściągać plików - wystarczyło, że odwiedzili zainfekowaną stronę. Twórcy wirusów zastępowali normalne strony zainfekowanymi. Większość infekcji wywołana była złośliwymi programami wykorzystującymi luki w MS IE. W niektórych przypadkach zmodyfikowane strony oferowały darmowe programy, które okazywały się szkodliwymi.


Ataki z wykorzystaniem technologii pozainternetowych

W 2001 r. usługi typu instant messaging (czyli popularne komunikatory), takie jak ICQ lub MS Instant Messenger, zostały po raz pierwszy użyte jako kanały rozprzestrzeniania złośliwego kodu. Fala infekcji robaków zmieniła te usługi w kolejne pułapki dla niczego nieświadomych użytkowników. Robak internetowy Mandragore zaatakował sieć wymiany plików. Ostatnim, ale równie ważnym wydarzeniem roku 2001 było rozpowszechnienie robaków, które rozprzestrzeniały się przez kanały IRC.


Więcej ataków na Linuksa

W 2001 r. pojawiła się ogromna liczba złośliwych programów atakujących Linuksa. Sezon ten zapoczątkował 19 stycznia Ramen, który w ciągu kilku dni przeniknął do ogromnej liczby sieci korporacyjnych. Ofiarami padły NASA (Stany Zjednoczone), A&M University (Stany Zjednoczone) oraz producent sprzętu komputerowego Supermicro (Tajwan).


Ataki urosły do rozmiarów lawiny - klony robaka Ramen oraz nowe robaki dla Linuksa pojawiały się jeden po drugim. Większość tych złośliwych programów wykorzystywała luki w systemie operacyjnym. Tempo w jakim rozprzestrzeniały się te grożenia ujawniło brak przygotowania twórców Linuksa, którzy spali spokojnie w przekonaniu, że Linux był całkowicie bezpiecznym środowiskiem. Wielu użytkowników nie zadało sobie trudu zainstalowania łat dostępnych dla niektórych luk i padło ofiarą tych robaków.


Bezplikowe robaki - nowe wyzwanie

Tak zwane robaki bezplikowe okazały się najbardziej przykrą niespodzianką 2001 r. Robaki te mogły tworzyć własne kopie i funkcjonować na zainfekowanych komputerach bez wykorzystania plików. Istnieją tylko w pamięci RAM i rozprzestrzeniają się jako specjalnie skonfigurowane pakiety danych.


Ta nowa technika przysporzyła ekspertom z dziedziny oprogramowania antywirusowego nowych zmartwień. Tradycyjne skanery i monitory okazały się nieskuteczne wobec tego nowego zagrożenia, ponieważ do tej pory silniki antywirusowe wykrywały złośliwe programy w czasie operacji na plikach. Kaspersky Lab była pierwszą firmą, która opracowała nowy filtr antywirusowy posiadający funkcje skanowania w tle pakietów danych przychodzących i usuwania robaków bezplikowych.


Wzrost liczby robaków dla systemu Windows

Podczas gdy klasyczne wirusy wyraźnie dominowały w okresie 1999-2000, w roku 2001 królowały robaki dla systemu Windows. Do jesieni robaki te spowodowały około 90% wszystkich odnotowanych infekcji.


Zjawisko to miało dwie przyczyny: z jednej strony nowe technologie umożliwiły twórcom wirusów pisanie lepszych robaków; z drugiej strony, producenci oprogramowania antywirusowego zdążyli już opracować skuteczną ochronę przed makrowirusami i wirusami skryptowymi.


Wirusy - żarty

Wirusy żarty szalały w 2001 r. Do marca zarejestrowano 10 nowych ostrzeżeń przed pojawieniem się niebezpiecznych wirusów. Zdenerwowani użytkownicy, którzy mieli jeszcze w pamięci epidemie na dużą skalę z 2000 r., pospieszyli przekazać te wiadomości swoim przyjaciołom, krewnym i współpracownikom. Szczególnie popularne były żarty California IBM oraz Girl Thing. Duży popłoch wywołała także wiadomość ostrzegająca użytkowników przed nową epidemią robaka ILoveYou zaplanowaną na Dzień Świętego Walentego.


Niektóre z tych żartów okazały się tak skuteczne, że ich kopie krążyły w Internecie nawet siedem lat później.


2001 w skrócie:

- Poczta elektroniczna i Internet stają się głównymi środowiskami rozprzestrzeniania się nowych zagrożeń;

- Na pierwszy plan wśród nośników infekcji wysuwają się również ICQ, IRC, MSN Messenger oraz sieci wymiany plików;

- Na scenie pojawiają się robaki bezplikowe;

- Wzrasta liczba robaków dla systemu Windows, które w połowie roku stanowią większość nowych zagrożeń, natomiast znaczenie makrowirusów i wirusów skryptowych stopniowo zmniejsza się.

 

 
2002

W roku 2002 miało miejsce 12 poważnych i 34 mniej groźnych epidemii wirusów, nie licząc aktywności wirusów, które pojawiły się jeszcze poprzedniego roku. Twórcy wirusów aktywnie przenikali nowe platformy, aplikacje i technologie.


Najważniejsze wydarzenia roku 2002

W styczniu pojawiły się dwa nowe robaki typu flash - LFM i Donut: oba zostały tak skonstruowane, aby mogły rozprzestrzeniać się w środowisku .NET. Na szczęście, miały one tylko udowodnić istnienie technologii, nie odnotowano więc żadnych infekcji.


W maju byliśmy świadkami pojawienia się robaka Spida, który atakował serwery SQL, oraz wirusa Benjamin, który zapoczątkował całą serię złośliwych programów atakujących sieć wymiany plików KaZaA.


Złośliwe programy dla Linuksa

Robak Slapper przekonał ostatecznie najbardziej zatwardziałych sceptyków, że użytkownicy Linuksa powinni być tak samo świadomi w kwestii bezpieczeństwa jak użytkownicy innych systemów operacyjnych. W ciągu zaledwie kilku dni Slapper przeniknął do tysięcy komputerów działających pod kontrolą Linuksa. Użytkownicy FreeBSD również otrzymali upomnienie: we wrześniu nowy robak Scalper zaatakował systemy FreeBSD, straty spowodowane przez niego nie przewyższyły jednak tych spowodowanych przez Slappera.


Profesjonalni twórcy wirusów

W tym roku profesjonalni twórcy wirusów zabrali się do pracy: znacznie wzrosła liczba złośliwych programów tworzonych z myślą o popełnieniu oszustw finansowych. Programy takie kradły hasła, poufne dane, informacje o dostępie do Internetu i inne dane, które umożliwiały twórcom wirusów zarabianie pieniędzy poprzez wykorzystanie przechwyconych danych.


Robaki

Robaki internetowe, takie jak Klez i Lentin, zdobyły popularność już przed 2002 r. Stare wersje zastępowane były jednak nowym typem: nowe robaki pocztowe rozprzestrzeniały się poprzez bezpośrednie połączenie z serwerami SMTP zainfekowanych komputerów.

Trend ten wyrósł z zaostrzenia środków bezpieczeństwa, które uniemożliwiły rozprzestrzenianie się robaków poprzez MS Outlooka i inne klienty pocztowe. Twórcy systemów pocztowych zintegrowali ochronę antywirusową lub zestaw specjalnych funkcji zapobiegających nieautoryzowanemu wysyłaniu poczty. W rezultacie, twórcy wirusów skoncentrowali się na pisaniu robaków, które mogły ominąć te środki zapobiegawcze.

Robaki rozmnażające się w innych środowiskach, takich jak sieci LAN, P2P, IRC prawie całkowicie znikły ze sceny w roku 2002.


Klez

Najpoważniejszą epidemię tego roku spowodował robak o nazwie Klez. Po raz pierwszy robak ten został wykryty 26 października i od tego momentu przez dwa lata utrzymywał się na listach najpopularniejszych złośliwych programów. Jest to rekord w wirusologii, który nie został jeszcze pobity. Nowe warianty robaka - Klez.e i Klez.h - były najbardziej aktywnymi klonami. Łącznie, do końca 2002 roku 6 na 10 odnotowanych infekcji spowodowanych było przez robaka Klez.

Chociaż Klez był odpowiedzialny za najpoważniejsze epidemie w 2002 roku, pojawiła się silna konkurencja ze strony kilku innych robaków: Lentin i Tanatos (znany jako Bugbear). Do końca roku Lentin pobił Kleza pod względem liczby spowodowanych incydentów.


Luki

Zapoczątkowana w 2001 r. tendencja wykorzystywania luk w zabezpieczeniach utrzymała się również w roku 2002: twórcy wirusów skupili się na luce IFRAME w MS Internet Explorer i napisali takie wirusy, jak Klez, Lentin czy Tanatos, które odpowiedzialne były za 85% wszystkich incydentów związanych z wirusami.


Klasyczne wirusy

Co ciekawe, tego roku makrowirusy wysunęły się na pierwszą pozycję spośród klasycznych wirusów. Najpopularniejsze były makrowirusy dla MS Worda: Thus, TheSecond, Marker oraz virusFlop. Wirusy te po raz pierwszy pojawiły się pod koniec lat 90 i powróciły w 2002 r. Prawdopodobnie spowodował to wzrost liczby użytkowników systemu Windows przekonanych, że makrowirusy należą już do przeszłości. Zrezygnowali oni z niewygodnych zabezpieczeń i tym samym umożliwili powrót znanych już wirusów. Większość infekcji spowodowały wirusy Elkern, CIH, FunLove oraz Spaces.

Pozytywną stroną tej sytuacji było prawie całkowite zniknięcie ze sceny wirusów skryptowych i innych klasycznych wirusów w 2002 r.


Wirusy żarty

Zapoczątkowana w 2001 r. eksplozja wirusów żartów trwała również w 2002 r. Na całym świecie użytkownicy zalewali się nawzajem nowymi i starymi żartami: JDBGNR, Ace-?, SULFNBK, Virtual Card for You, California IBM oraz Girl Thing.


Podsumowanie roku 2002

Pod koniec roku wyłonił się interesujący schemat w rozprzestrzenianiu się złośliwych programów. W poprzednim roku przytłaczająca większość incydentów dotyczących wirusów spowodowana była niewielką, liczącą od 2 do 3, grupką szkodników. Od września 2002 r. schemat ten został zaburzony: coraz więcej infekcji wywołanych było wirusami, które nie zdołały znaleźć się w czołówce.


Niewątpliwie dużą rolę odegrała w tym wzrastająca świadomość użytkowników końcowych odnośnie bezpieczeństwa komputerowego oraz ich gotowość zastosowania środków zapobiegawczych. W wyniku właściwie zastosowanych przez użytkowników technik zabezpieczenia zmniejszyła się liczba incydentów spowodowanych przez poszczególne wirusy.

Mimo to, ogólna liczba infekcji nie spadła, co oznaczało, że wzrosła ogólna liczba złośliwych programów występujących na wolności. Chociaż żaden z wirusów nie spowodował samodzielnie znaczącej epidemii, wspólnie wywołały imponującą liczbę incydentów. 


2003

W 2003 r. miały miejsce dwa globalne ataki internetowe, które można określić jako największe w historii Internetu. Robak internetowy Slammer , wykorzystując do rozprzestrzeniania lukę w MS SQL Server, położył fundament pod te ataki. Slammer był pierwszym bezplikowym klasycznym robakiem posiadającym możliwości robaka flash, które przewidywano kilka lat wcześniej.


25 stycznia 2003 r. w ciągu zaledwie kilku minut, robak zainfekował na całym świecie setki tysięcy komputerów, zwiększając ruch sieciowy do tego stopnia, że załamało się kilka krajowych segmentów sieci. Według szacunków ekspertów ruch w wielu różnych sieciach zwiększył się z 40% do 80%. Robak atakował komputery przez porty 1433 i 1434. Przenikając do komputerów nie kopiował się na żaden dysk, ale po prostu pozostawał w pamięci komputera. Analiza dynamiki epidemii wykazała, że robak ten zaczął rozprzestrzeniać się z Dalekiego Wschodu.


Druga, poważniejsza epidemia spowodowana była przez robaka Lovesan, który pojawił się w sierpniu 2003 r. Robak ujawnił, jak wiele luk zawiera Windows. Podobnie jak Slammer, Lovesan wykorzystał do rozmnażania się lukę w systemie Windows. Różnica polegała na tym, że Lovesan wykorzystał lukę w usłudze RPC DCOM działającej pod kontrolą systemu Windows 2000/XP. W rezultacie, robak zaatakował prawie każdego użytkownika Internetu.


Pod względem pojawienia się wirusów atakujących nowe platformy i aplikacje rok 2003 był niespodziewanie spokojny. Jedynym wydarzeniem godnym uwagi było wykrycie przez Kaspersky Lab wirusa MBP.Kynel na wolności. Wirus ten infekował dokumenty MapInfo i napisany był w języku MapBasic. MBP.Kynel bezsprzecznie napisany został przez Rosjanina.


Rok 2003 obfitował w epidemie wywołane robakami pocztowymi. Ganda i Avron zostały wykryte po raz pierwszy w styczniu. Ten ostatni został napisany w Szwecji i do dzisiejszego dnia pozostaje jednym z najpopularniejszych robaków pocztowych w Skandynawii, mimo że jego autor został aresztowany pod koniec marca.


Avron był pierwszym robakiem stworzonym w byłym Związku Radzieckim, który wywołał poważną globalną epidemię. Kod źródłowy tego robaka został opublikowany w Internecie, co spowodowało pojawienie się dużej liczby mniej szkodliwych wersji.


Kolejnym ważnym wydarzeniem w 2003 r. było pojawienie się w styczniu pierwszego robaka Sobig. Wszystkie robaki z tej rodziny wywoływały poważne epidemie, jednak dopiero wersja 'f' pobiła wszelkie rekordy, stając się najpopularniejszym robakiem w sieci w całej historii. W punkcie kulminacyjnym epidemii Sobig.f, wykryty po raz pierwszy w sierpniu, zawarty był w prawie co dwudziestej wiadomości e-mail. Autorzy rodziny wirusów Sobig dążyli do stworzenia sieci zainfekowanych komputerów w celu przeprowadzenia ataków typu DoS na przypadkowo wybranych stronach oraz ataków spamowych.


Innym ważnym wydarzeniem w wirusologii było pojawienie się robaka Tanatos.b. Pierwsza wersja tego robaka została napisana jeszcze w połowie 2002 r., jednak wersja 'b' pojawiła się zaledwie rok później. W celu automatycznego uruchamiania się z zainfekowanych wiadomości robak wykorzystywał dobrze znaną lukę IFRAME w MS Outlook. Tanatos spowodował jedną z najpoważniejszych epidemii roku 2003, plasując się na drugim miejscu zaraz za wirusem Sobig.f, który prawdopodobnie ma na swoim koncie największą liczbę komputerów zainfekowanych przez robaka pocztowego.


Wciąż pojawiały się robaki z rodziny Lentin. Wszystkie z tych robaków zostały napisane w Indiach przez lokalną grupę hakerów w ramach 'wirtualnej wojny' pomiędzy hakerami z Indii i Pakistanu. Najpopularniejszymi wersjami były 'm' i 'o', w których wirusy rozprzestrzeniały się w formie plików archiwów ZIP dołączonych do zainfekowanych wiadomości.


Aktywni pozostali rosyjscy twórcy wirusów; drugim robakiem z byłego Związku Radzieckiego, który również spowodował globalną epidemię był Mimail. Do uaktywniania się robak wykorzystał dopiero co wykrytą lukę w przeglądarce Internet Explorer. Luka ta umożliwiła wyekstrahowanie kodu binarnego z plików HTML, a następnie uruchomienie go. Mechanizm ten został po raz pierwszy użyty w Rosji w maju 2003 r. (Trojan.Win32.StartPage.l). Następnie luka ta została wykorzystana przez rodzinę Mimail i kilka innych trojanów. Autorzy robaka Mimail opublikowali w Internecie jego kod źródłowy, co spowodowało pojawienie się w listopadzie 2003 r. kilku nowych odmian tego robaka napisanych przez inne osoby.


Wrzesień był miesiącem robaka Swen. Email-Worm.Win32.Swen, pod pozorem łaty opublikowanej przez Microsoft, zdołał zainfekować kilkaset tysięcy komputerów na całym świecie i do dzisiaj pozostaje jednym z najpopularniejszych robaków pocztowych. Autor wirusa wykorzystał przerażenie użytkowników, którzy wciąż nie otrząsnęli się po ostatnich epidemiach robaków Lovesan i Sobig.f.


Ostatnia poważna epidemia spowodowana była robakiem Sober, względnie nieskomplikowanym napisanym przez niemieckiego twórcę robakiem pocztowym, który imitował największego szkodnika roku - robaka Sobig.f.


Zapoczątkowany w 2002 r. wzrost liczby backdoorów i szpiegowskich programów typu Trojan utrzymał się również w 2003 r. W tej kategorii najbardziej wyróżniały się Backdoor.Agobot oraz Afcore. Obecnie istnieje ponad 40 odmian robaka Agobot, ponieważ autor oryginalnej wersji stworzył sieć stron WWW i kanałów IRC, poprzez które każdy, kto uiścił opłatę co najmniej 150 dolarów, mógł stać się właścicielem własnej wersji backdoora, stworzonej zgodnie z życzeniami klienta.


Afcore jest mniej rozpowszechniony. Jednak, stosuje on nietypowe metody ukrywania swojej obecności w systemie: umieszcza się w alternatywnych strumieniach systemu plików NTFS.


Pod koniec roku 2003 wyłonił się nowy i potencjalnie niebezpieczny trend: nowy typ trojana - TrojanProxy. Był to pierwszy, wyraźny sygnał współpracy twórców wirusów i spamerów. Spamerzy zaczęli wykorzystywać komputery zainfekowane takimi trojanami do przeprowadzania masowych ataków spamerskich. Niewątpliwie brali oni również udział w licznych epidemiach, ponieważ złośliwe programy rozprzestrzeniane były przy użyciu technologii spamerskich.


Robaki internetowe stanowiły w 2003 r. drugą najaktywniejszą klasę wirusów. Popularne były zwłaszcza te, które przechwytywały hasła, a następnie łączyły się ze zdalnymi zasobami sieciowymi. Robaki takie opierają się na klientach IRC i skanują adresy użytkowników tych klientów. Następnie próbują przeniknąć do innych komputerów przez protokół NetBIOS i port 445. Jednym z najważniejszych robaków w tej klasie była rodzina robaków internetowych Randon.


W roku 2003 dominującym typem złośliwych programów były robaki internetowe.


Na drugim miejscu znalazły się makrowirusy, takie jak Macro.Word97.Saver. Jednak, jesienią wirusy zostały wyprzedzone przez trojany. Trend ten obserwujemy do dzisiaj.

 

styczeń – marzec 2008


Niestety, jak często bywa w branży antywirusowej, wnioski z danych zgromadzonych w pierwszym kwartale 2008 roku są dość ponure. Nadal rośnie tempo, w jakim zwiększa się liczba szkodliwych programów - codziennie wykrywane są tysiące nowych wariantów. Jednocześnie szkodniki stają się coraz bardziej zaawansowane technicznie. Szkodliwi użytkownicy zmieniają wektory ataków, kierując swoją uwagę na słabiej chronione pliki, takie jak technologie Web 2.0 oraz urządzenia mobilne.


Nadal jesteśmy świadkami reinkarnacji starych koncepcji i technik, a ich implementacja na nowych poziomach zwiększa stopień zagrożenia. Przykładem może być infekowanie sektorów startowych na atakowanych maszynach, rozprzestrzenianie szkodliwych programów za pośrednictwem nośników przenośnych oraz infekowanie plików.


Pod presją wzrastającej kryminalizacji świata wirusów z biznesu wycofali się autorzy takich szkodników, jak "Cap" (pierwszy makrowirus, który spowodował globalną epidemię), "Stream" (pierwszy wirus dla alternatywnych strumieni NTFS), "Donut" (pierwszy wirus dla platformy .NET), "Rugrat" (pierwszy wirus dla platformy Win64), mobilny wirus Cabir, Duts i wiele innych. Nikt już nie tworzy szkodliwych programów w celach badawczych, ani nie traktuje tego zajęcia jako sposobu na wyrażenie siebie - o wiele bardziej opłaca się stworzyć setki prymitywnych programów trojańskich, a następnie sprzedać je.


W poniższych rozdziałach zostały omówione trendy, które w 2008 roku zastąpiły "romantyczny" ideał pisania wirusów:

1.      Bootkit

2.      Robak Storm ciąg dalszy

3.      TrojanGet

4.      Kilka towarzyskich robaków

5.      Mobilne wieści


Bootkit

Na początku 2008 roku główny problem w branży antywirusowej stanowiły rootkity bootkit - rootkity z możliwością uruchamiania się z sektora startowego dowolnego urządzenia. Chociaż większość użytkowników nie zdaje sobie sprawy z wagi tego problemu i nie rozumie wysiłków czynionych w celu pokonania go, w najbliższej przyszłości temat ten może dotyczyć wszystkich nas.


Dlaczego ochrona przed bootkitami jest tak trudna? Problemy, jakie napotykamy tu, są następujące:

1.      Szkodliwy kod przejmuje kontrolę przed uruchamianiem systemu operacyjnego, a tym samym jest inicjowany jeszcze przed programem antywirusowym

2.      Z zainfekowanego systemu operacyjnego trudno jest wykryć przechwycenie funkcji

3.      Przywracanie przechwyconych funkcji może prowadzić do załamania się całego systemu operacyjnego

4.      Wyleczenie MBR-a możliwe jest tylko pod warunkiem wykrycia oryginalnego MBR-a


Naturalnie najlepszą ochroną jest w ogóle nie dopuścić do zainfekowania systemu - w końcu bootkit nie pojawia się znikąd. W jakiś sposób musi przedostać się do komputera. Niektóre programy antywirusowe potrafią zapobiec infekcji nawet nieznanych wariantów szkodliwego oprogramowania. Jednak zawsze istnieje możliwość, że szkodnik mimo wszystko przeniknie przez taką ochronę.


Powstaje więc pytanie, w jaki sposób wyleczyć zainfekowaną już maszynę.


Istnieją dwie opcje - w systemie może być już zainstalowany program antywirusowy (w takim przypadku powyższe cztery punkty dotyczą rozwiązania antywirusowego) lub nie jest wykorzystywane żadne oprogramowanie antywirusowe i należy je zainstalować. W drugim przypadku napotykamy dodatkowy problem związany z tym, który został opisany w punkcie 1; szkodliwy kod może blokować próby zainstalowania rozwiązania antywirusowego w zainfekowanym systemie.


Twórcy wirusów przeanalizowali sposoby rozwiązywania przez firmy antywirusowe opisanych wyżej problemów i w lutym 2008 r. pojawiła się nowa, ulepszona wersja bootkita. Wszystkie wcześniejsze metody zwalczania bootkitów okazały się bezużyteczne.


Jednocześnie bootkit zaczął rozprzestrzeniać się na nowe sposoby. Na wielu europejskich stronach, zaatakowanych przez hakerów, zostały wykryte odsyłacze do stron zawierających exploity instalujące bootkita.


Jak dotąd oprócz Sinowala nie wykryliśmy żadnego innego szkodliwego programu wyposażonego w bootkita. Obecnie między firmami antywirusowymi a twórcami wirusów panuje sytuacja patowa, która nastąpiła po klasycznej sekwencji ataku i kontrataku. Nawet najnowsze warianty bootkita mogą być zwalczane bez konieczności zaimplementowania w rozwiązaniach antywirusowych znacznych innowacji.


Jednak nie ma wątpliwości, że wcześniej czy później tylko jedna metoda będzie gwarantowała wykrywanie i usuwanie takich szkodliwych programów. Jednak będzie to wymagało przejścia z ochrony za pomocą oprogramowania na ochronę za pomocą sprzętu.


Kluczowym pytaniem jest: co pierwsze przejmie kontrolę - jeśli będzie to wirus, wtedy rozwiązanie antywirusowe stanie się bezużyteczne.

Tak więc wirusy po raz kolejny zaczęły wykorzystywać MBR. 10 lat temu rozwiązaliśmy ten problem z pomocą dysku rozruchowego wyposażonego w oprogramowanie antywirusowe. Być może nadchodzi czas powrotu nie tylko starych technologii wirusowych ale również starych technologii antywirusowych.


Robak Storm ciąg dalszy

W połowie stycznia 2008 roku mieliśmy pierwszą rocznicę pojawienia się pierwszych próbek robaka, znanego na całym świecie jako Zhelatin, Nuwar lub Storm Worm. Do tego czasu wirusologia komputerowa nie znała przypadku tak szybko ewoluującego szkodliwego programu.

Rozpowszechnienie robaka Storm oraz wykorzystywane wektory ataków są zbyt szerokie, aby był on dziełem jednej, dwóch lub nawet trzech osób. Jeżeli nasze przypuszczenia są słuszne, robak Storm to podręcznikowy przykład współczesnej cyberprzestępczości wraz z jej międzynarodowym podziałem pracy. Wciąż jednak nie wiemy, w jaki sposób cyberprzestępcy zarabiają na nim pieniądze.


TrojanGet

Przypadki rozprzestrzeniania infekcji przez legalne programy i firmy antywirusowe, choć stosunkowo rzadkie, zdarzają się jednak w świecie bezpieczeństwa informatycznego. Obejmują one rożne przypadki - od zainfekowanych pakietów instalacyjnych po zainfekowane dokumenty rozsyłane klientom i partnerom.

Każdy taki incydent ma poważny wpływ na reputację firmy antywirusowej lub firmy, która została dotknięta takim incydentem. Wpływa na użytkowników, którzy przestrzegają podstawowych reguł bezpieczeństwa komputerowego i stwarza problemy firmom antywirusowym, które traktują legalne oprogramowanie oraz źródła, z jakich pochodzi, jako godne zaufania.

Pierwszy kwartał 2008 roku przyniósł najnowszy przypadek tego rodzaju.


Na początku marca analitycy z firmy Kaspersky Lab otrzymali wiadomości od użytkowników, w których informowali firmę, że katalog popularnego klienta FlashGet zawierał trojana. Analiza pokazała, że problem ten dotknął użytkowników z całego świata. Do symptomów infekcji należało pojawienie się w systemie plików o nazwie inapp4.exe, inapp5.exe oraz inapp6.exe. Kaspersky Anti-Virus wykrywał te pliki jako Trojan-Dropper.Win32.Agent.exo, Trojan-Dropper.Win32.Agent.ezo oraz Trojan-Downloader.Win32.Agent.kht.

Nie trzeba chyba podkreślać, że FlashGet jest zwykle traktowany jako aplikacja zaufana i każda aktywność sieciowa wygenerowana przez ten program jest uważana za legalną.


Do tej pory nie było żadnej oficjalnej reakcji ze strony chińskiej firmy, która tworzy program FlashGet. Prawdziwa przyczyna incydentu pozostaje nieznana, nie ma również gwarancji, że sytuacja nie powtórzy się.

Firmy antywirusowe, które same mogą zdecydować, czy FlashGet jest potencjalnie szkodliwy, zaczęły klasyfikować go jako riskware. I miały po temu wiele powodów.


Kilka towarzyskich robaków

Przewidywano, że w 2008 roku wiele trojanów będzie rozprzestrzeniało się za pośrednictwem kont użytkowników na serwisach społecznościowych, na ich blogach i profilach. W lutym 2008 roku przewidywania te spełniły się całkowicie. Po raz kolejny zaatakowany został Orkut, popularny portal społecznościowy należący do Google.


Incydent ten po raz kolejny pokazuje, jak bardzo podatni na ataki mogą być użytkownicy portali społecznościowych. Czynniki, które sprawiają, że serwisy Web 2.0 są popularne zarówno wśród użytkowników, jak i hakerów, zostały wymienione poniżej:

1.      Migracja danych użytkownika z komputera PC do Internetu

2.      Możliwość uzyskania dostępu do wielu różnych serwisów z jednego konta

3.      Szczegółowe informacje o użytkowniku

4.      Informacje o kontaktach i znajomych użytkownika

5.      Miejsce, w którym można opublikować dowolną treść

6.      Zaufanie między kontaktami


Problem już teraz jest dość poważny i wiele wskazuje na to, że będzie stanowił realne zagrożenie dla bezpieczeństwa informatycznego
.


Wieści mobilne

W pierwszym kwartale 2008 roku świat mobilnej wirusologii obfitował w wiele wydarzeń. Obserwowaliśmy nie tylko dalszy rozwój technologii, ale również wzrost liczby osób zaangażowanych na tym polu: zarówno twórców wirusów, jak i firm antywirusowych. Innowacje w zakresie szkodliwego kodu rozłożyły się mniej więcej równomiernie na cztery cele: Symbiana, Windows Mobile'a, J2ME oraz iPhone'a.


Symbian

Symbian został zaatakowany przez najnowszego robaka z całkowicie nowej rodziny. Do tego momentu istniały dwa typy zagrożeń: Cabir, który rozprzestrzeniał się za pośrednictwem Bluetootha, oraz ComWar, który wykorzystywał do tego celu MMS-y. Naturalnie istniało kilka wariantów obu tych robaków.

Pod koniec grudnia do naszych antywirusowych baz danych dodaliśmy program, który na pierwszy rzut oka zdawał się być nowym klonem ComWara: ComWar.y. Jednak pojawienie się tego programu w styczniu w ruchu jednego z największych operatorów komórkowych skłoniło nas do dokładniejszego przyjrzenia się tej nowej próbce.


Analiza przeprowadzona przez jednego z naszych partnerów, fińską firmę F-Secure, pokazała, że w rzeczywistości szkodnik ten należał do zupełnie nowej rodziny, która nie miała nic wspólnego z ComWarem.


Robak ten, sklasyfikowany jako Worm.SymbOS.Beselo.a (Beselo.b zostal wykryty niedługo po nim) działa w bardzo podobny sposób do ComWara, stosując typowe dla tego rodzaju robaków podejście. Rozprzestrzenia się poprzez wysyłanie zainfekowanych plików SIS za pośrednictwem MMS-ów oraz Bluetootha. Po uruchomieniu na atakowanym urządzeniu robak zaczyna wysyłać swoje kopie do kontaktów znajdujących się w telefonie, jak również do wszystkich dostępnych urządzeń z komunikacją Bluetooth, które znalazły się w zasięgu.


Co w tym nowego? Fakt, że istnieje nowa, aktywna rodzina robaków dla urządzeń mobilnych (co wskazuje na istnienie aktywnych twórców wirusów) oraz występowanie tego robaka na wolności. Nowe warianty Beselo mogły spowodować poważne lokalne epidemie - coś podobnego miało miejsce wiosną zeszłego roku, gdy ofiarą hiszpańskiej modyfikacji robaka ComWar padło 115 000 użytkowników smartfonów.


Windows Mobile

Na wzmiankę zasługuje również pojawienie się nowego szkodliwego programu dla systemu Windows Mobile, który do tej pory nie stanowił głównego celu szkodliwych użytkowników. Jednak InfoJack, trojan, który został wykryty pod koniec lutego, jest interesujący z następujących powodów:


InfoJack.a

1.      atakuje system Windows Mobile

2.      został wykryty na wolności

3.      rozprzestrzenia się w Chinach

4.      kradnie dane


Jest to pierwszy szkodliwy kod atakujący system Windows Mobile, który został wykryty na wolności i spowodował znaczną liczbę infekcji. Kod rozprzestrzeniał się z chińskiej strony zawierającej szeroki wachlarz legalnego oprogramowania. Trojan ten został dodany do plików instalacyjnych produktów mobilnych, takich jak Google Maps i klienty gier. Właściciel strony, z której rozprzestrzeniał się trojan, oświadczył, że nie chciał zrobić niczego nielegalnego, zbierał jedynie informacje o użytkownikach strony w celu usprawnienia serwisu oraz analizy rynku mobilnych aplikacji.


Po przedostaniu się do systemu trojan próbuje wyłączyć mechanizm ochrony uniemożliwiający instalację aplikacji, które nie posiadają podpisu cyfrowego twórcy. Gdy zainfekowany smartfon zostanie podłączony do Internetu, InfoJack zaczyna wysyłać poufne informacje z urządzenia na stronę trojana. Informacje te obejmują numer seryjny urządzenia, informacje o systemie operacyjnym i zainstalowanych aplikacjach. Trojan może również bez wiedzy użytkownika pobierać na telefon dodatkowe pliki i uruchomić je - może to zrobić, ponieważ ochrona przed uruchomieniem niepodpisanych aplikacji została wyłączona.


Kilka dni później aktywność tej strony została wstrzymana prawdopodobnie w związku z dochodzeniem prowadzonym przez chińską policję.


Pisaliśmy już, co się może zdarzyć, gdy twórcy wirusów zainteresują się popularnymi serwisami (np. ataki na portal Orkut w Brazylii). Chiny bez wątpienia są światowym liderem pod względem tworzenia szkodliwego kodu; obecnie ponad 50% wszystkich nowych szkodliwych programów w naszych antywirusowych bazach danych powstało w Chinach. Do tej pory chińscy hakerzy atakowali użytkowników gier online wykorzystujących komputery osobiste. Jednak przypadek InfoJacka pokazuje, że możliwe jest zorganizowanie masowej epidemii i stworzenie mobilnych wirusów.


Chiny były pierwszym krajem, który zaatakował trojan dla systemu Windows Mobile. Całkiem możliwe, że autor InfoJacka nie chciał zrobić niczego nielegalnego. Teraz jednak, gdy fundament został już położony, tysiące chińskich hakerów, którzy tworzą wirusy dla komputerów osobistych, może go wykorzystywać.


J2ME

W pierwszym kwartale 2008 roku trojany dla J2ME (które działają na prawie każdym współczesnym urządzeniu mobilnym, nie tylko na smartfonach) zaczęły pojawiać się z przerażającą regularnością. W styczniu wykryliśmy Smarm.b, następnie Smarm.c oraz Swapi.a, a w marcu SMSFree.d.


Wszystkie te trojany zostały wykryte w Rosji i stosują tę samą metodę zarabiania pieniędzy na użytkownikach: wysyłanie wiadomości SMS na numery o podwyższonych opłatach.
(Dochodzenie w sprawie podobnego trojana wysyłającego SMS-y, Vivera, które przeprowadziliśmy w zeszłym roku, pokazało, że w ciągu trzech dni autor trojana zdołał zarobić około 500 dolarów). Mimo wszystkich tych incydentów rosyjscy dostawcy zawartości mobilnej nadal zachowują anonimowość osób, które rejestrują numery o podwyższonej opłacie. W ten sposób twórców wirusów trudno jest postawić przed sądem: pojawienie się nowych wariantów szkodliwych programów oraz brak informacji o aresztowaniach wyraźnie potwierdza to.


Oprócz trojanów dla J2ME, o których pisaliśmy wcześniej, istnieją jeszcze inne dwa szkodliwe programy, które wysyłają wiadomość SMS, za którą pobierana jest opłata. Flocker.d i Flocker.e, które zostały napisane w języku Python i miały na celu atakowanie smartfonów, zostały wykryte w styczniu 2008 roku.


Szkodniki te wykorzystują tę samą metodę propagacji co InfoJack: rozprzestrzeniają się za pośrednictwem popularnych stron oferujących oprogramowanie dla telefonów komórkowych. Trojany te występują w przebraniu legalnych narzędzi lub są zintegrowane z innymi produktami.


iPhone

Sekcję dotyczącą mobilnych zagrożeń zakończymy informacjami dotyczącymi długo oczekiwanego wydarzenia: opublikowaniem w marcu SDK dla iPhone'a.

Sądziliśmy, że udostępnienie SDK spowoduje pojawienie się licznych szkodliwych programów dla iPhone'a. Jednak możliwości, jakie zapewnia otwarte SDK Apple'a, są bardzo ograniczone.


Apple poszedł śladem Symbiana: model tworzenia i dystrybucji programów dla iPhone'a opiera się na koncepcji "podpisanych" aplikacji. Główne ograniczenia zostały określone w umowie korzystania z SDK dla iPhone'a: "Żaden interpretowany kod nie może być pobrany i wykorzystany w aplikacji z wyjątkiem kodu, który jest interpretowany i uruchamiany przez API opublikowane przez firmę Apple oraz wbudowany do programu interpretującego. Aplikacja nie może sama instalować ani uruchamiać innego kodu wykonywalnego w żaden sposób, włączając bez ograniczeń wykorzystywanie architektury wtyczki, wywoływanie innych struktur, innych niż API".


Ograniczenia te nie tylko utrudniają życie twórców wirusów, ale również skutecznie wykluczają takie aplikacje jak Firefox, Opera i wiele gier, klientów IM oraz wiele innych użytecznych programów: aplikacji, które mogą stać się niezwykle popularne wśród użytkowników iPhone'a i które mogą rozszerzyć możliwości urządzenia.


Przez cztery dni od momentu opublikowania SDK pobrano ponad 100 000 razy. Wygląda na to, że tak duża liczba potencjalnych konstruktorów powinna doprowadzić do wzrostu liczby nowych aplikacji stworzonych przy pomocy SDK. Tak się jednak nie dzieje.


W sensie formalnym Apple spełnił swoją obietnicę, udostępniając SDK. Na razie jednak nie jest jasne, w jaki sposób krok ten wpłynie nawet na rozwój legalnego oprogramowania dla telefonów. Ograniczenia są zbyt duże i zbyt wiele funkcji w SDK pozostaje niedostępnych.


Drugim poważnym ograniczeniem jest to, że aplikacje stworzone przy użyciu SDK, mogą być dystrybuowane tylko za pośrednictwem sklepu internetowego firmy Apple. Tworzy to dużo dodatkowych barier, począwszy od liczby uprawnionych "producentów" (twórców), skończywszy na ograniczeniach geograficznych (tylko osoby za Stanów Zjednoczonych mogą uczestniczyć).


Jest oczywiste, że w tych warunkach nie będzie możliwe uruchomienie produktu antywirusowego dla iPhone'a - nie z powodów technicznych, ale z powodu problemów opisywanych poniżej.


Szacuje się, że 45% - 50% wszystkich sprzedanych urządzeń zostało "odblokowanych". Wszystkie te urządzenia mogą zostać zainfekowane przez dowolny szkodliwy program dla iPhone'a podczas pobierania przez użytkownika plików z wielu różnych nieoficjalnych źródeł. W żaden sposób nie można tego kontrolować: użytkownicy zmodyfikowanych telefonów nie są uprawnieni do oficjalnej pomocy technicznej, dlatego nie będziemy mogli zapewnić im żadnej ochrony antywirusowej.


W najbliższej przyszłości liczba osób wykorzystujących iPhone'y prawdopodobnie zrówna się z liczbą użytkowników smartfonów z systemem Symbian w 2004 roku - czyli wtedy, gdy pojawił się Cabir.


Wnioski

Wydarzenia z pierwszych trzech miesięcy 2008 roku pokazują, że okres technicznej stagnacji w krajobrazie zagrożeń dobiega końca.


W zeszłym roku opisywaliśmy mechanizm typu przenośnik taśmowy: proces, w którym generowane są liczne prymitywne programy naśladowcze, w których nie są implementowane nowe technologie wirusowe. Zjawisko to można wyjaśnić w następujący sposób: twórcy wirusów woleli stosować wypróbowane metody, ponieważ w tym czasie nawet stare i dobrze znane podejścia mogły przynieść zyski, jeżeli zostały zastosowane na skalę przemysłową.


Nastąpiła jednak znacząca zmiana kierunku, widoczna przede wszystkim w pojawieniu się pierwszej szkodliwej implementacji bootkita. Oprócz tego coraz częściej wykorzystywane są metody infekcji plików, często w połączeniu ze złożonymi technikami polimorficznymi. Należy również pamiętać, że twórcy wirusów zapożyczają pewne technologie że świata antywirusowego. Na przykład, wykryliśmy już szkodliwe programy, które w celu zwalczania rozwiązań antywirusowych poprzez usuwanie ich lub blokowanie zawierają wykrywanie sygnatur plików antywirusowych. Wcześniej twórcy wirusów ograniczali się do projektowania swoich tworów w taki sposób, aby szukały plików według nazwy.


Obecnie stare technologie są rewidowane i implementowane na nowych poziomach. Walka wirusów z rozwiązaniami antywirusowymi przesuwa się z poziomu oprogramowania na poziom sprzętu.


Chociaż nie można jeszcze powiedzieć, że wydarzenia z pierwszego kwartału 2008 roku tworzą określony trend, poruszone kwestie mogą mieć duży wpływ na całą branżę bezpieczeństwa informatycznego w najbliższej przyszłości.


Kaspersky Lab Polska

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Koszty zatrudnienia to główne wyzwanie dla firm w 2024 roku. Jak więc pozyskać specjalistów i jednocześnie zadbać o cash flow?

    W pierwszym półroczu 2024 roku wiele firm planuje rozbudowanie swoich zespołów – potwierdzają to niezależne badania ManpowerGroup czy Konfederacji Lewiatan. Jednocześnie pracodawcy mówią wprost - rosnące koszty zatrudnienia to główne wyzwanie w 2024 roku. Jak więc pozyskać specjalistów i jednocześnie zadbać o cash flow?

    Nauka języka obcego poprawi zdolność koncentracji. Ale nie tylko!

    Ostatnia dekada przyniosła obniżenie średniego czasu skupienia u człowieka aż o 28 sekund. Zdolność do koncentracji spada i to wina głównie social mediów. Czy da się to odwrócić? 

    Nowe przepisy: Po świętach rząd zajmie się cenami energii. Będzie bon energetyczny

    Minister klimatu i środowiska Paulina Hennig-Kloska zapowiedziała, że po świętach pakiet ustaw dotyczących cen energii trafi pod obrady rządu. Dodała też, że proces legislacyjny musi zakończyć się w pierwszej połowie maja.

    Wielkanoc 2024. Polacy szykują się na święta przed telewizorem?

    Jaka będzie tegoroczna Wielkanoc? Z badania online przeprowadzonego przez firmę Komputronik wynika, że leniwa. Polacy są zmęczeni i marzą o odpoczynku. 

    REKLAMA

    Biznes kontra uczelnie – rodzaj współpracy, korzyści

    Czy doktorat dla osób ze świata biznesu to synonim synergii? Wielu przedsiębiorców może zadawać sobie to pytanie podczas rozważań nad podjęciem studiów III stopnia. Na ile świat biznesu przenika się ze światem naukowym i gdzie należy szukać wzajemnych korzyści?

    Jak cyberprzestępcy wykorzystują sztuczną inteligencję?

    Hakerzy polubili sztuczną inteligencję. Od uruchomienia ChataGPT liczba złośliwych wiadomości pishingowych wzrosła o 1265%! Warto wiedzieć, jak cyberprzestępcy wykorzystują rozwiązania oparte na AI w praktyce.

    By utrzymać klientów tradycyjne sklepy muszą stosować jeszcze nowocześniejsze techniki marketingowe niż e-commerce

    Konsumenci wciąż wolą kupować w sklepach stacjonarnych produkty spożywcze, kosmetyki czy chemię gospodarczą, bo chcą je mieć od razu, bez czekania na kuriera. Jednocześnie jednak oczekują, że tradycyjne markety zapewnią im taki sam komfort kupowania jak sklepy internetowe.

    Transakcje bezgotówkowe w Polsce rozwijają się bardzo szybko. Gotówka jest wykorzystywana tylko do 35 proc. transakcji

    W Polsce około 2/3 transakcji jest dokonywanych płatnościami cyfrowymi. Pod tym względem nasz kraj jest w światowej czołówce - gotówka jest wykorzystywana tylko do ok. 35 proc. transakcji.

    REKLAMA

    Czekoladowa inflacja (chocoflation) przed Wielkanocą? Trzeci rok z rzędu produkcja kakao jest mniejsza niż popyt

    Ceny kakao gwałtownie rosną, ponieważ 2024 r. to trzeci z rzędu rok, gdy podaż nie jest w stanie zaspokoić popytu. Z analiz Allianz Trade wynika, że cenę za to będą płacić konsumenci.

    Kończy się najostrzejsza zima od 50 lat. Prawie 5 mln zwierząt hodowlanych zginęło z głodu w Mongolii

    Dobiegająca końca zima w Mongolii, najostrzejsza od pół wieku, doprowadziła do śmierci niemal 5 mln kóz, owiec i koni, które nie są w stanie dotrzeć do pożywienia. To duży cios w gospodarkę kraju zamieszkanego przez ok. 3,3 mln ludzi, z których ok. 300 tys. utrzymuje się z hodowli zwierząt - podkreśliło Radio Swoboda.

    REKLAMA